La mal llamada «Ley de cookies» y las Administraciones Públicas

7
4.007 views

En los últimos días se ha estado discutiendo ampliamente sobre la llamada Ley de Cookies, y en particular sobre la dificultad de cumplir con algunas de las obligaciones que la Agencia de Protección de Datos entiende que deben cumplirse respecto a la utilización de estos mecanismos en páginas web. Dadas las dudas que se han planteado al respecto, hemos intentado dar respuesta a las más comunes en el presente post.

¿Existe una Ley de Cookies?

La respuesta corta es que no, que pese a que coloquialmente se pueda hacer referencia a una Ley de cookies, la realidad es que no existe una norma diferenciada que se encargue de regular este tema en nuestro ordenamiento.

En realidad, la regulación actual proviene de la Directiva 2009/136/CE del Parlamento Europeo y del Consejo de 25 de noviembre de 2009 por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) no 2006/2004 sobre la cooperación en materia de protección de los consumidores que, en su considerando 66, indica

Puede que haya terceros que deseen almacenar información sobre el equipo de un usuario o acceder a información ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aquellos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso.

Este texto ya nos permite interpretar que

  1. Facilitar la información y permitir el derecho de negativa debe realizarse no solo antes de la obtención de acceso a la información almacenada en el equipo del usuario, sino que este trámite debe ser realizado antes de proceder al almacenamiento de los datos.
  2. Las cookies son utilizadas como un ejemplo de almacenamiento de información con fin legítimo, pero la regulación no se va a limitar exclusivamente a éstas

Esta Directiva modifica a través de su articulado la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas), dejando la siguiente redacción en lo que respecta a este tema

Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario

La transposición al ordenamiento jurídico español se realiza a través de una modificación del art. 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) realizada por el Real Decreto Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista. La redacción del apartado 2 de este artículo, que es el que nos interesa ahora, queda así

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Por lo tanto, tendremos que acudir a este apartado para poder analizar a qué supuestos resulta aplicable, y cómo deben cumplirse dichas obligaciones. En particular, dado que la utilización de dispositivos de almacenamiento (es decir, el guardado de datos) debe realizarse después de haber facilitado la información oportuna, aquellos sitios web en que la instalación de cookies se realiza a través del simple acceso facilitando la información a posteriori podrían estar incumpliendo este artículo si realizamos una interpretación restrictiva del consentimiento del usuario.

¿Hace falta consentimiento expreso?

No resulta pacífica en algunos sectores la discusión sobre si realmente el consentimiento debe ser expreso o no, encontrándonos como en otros países como es el Reino Unido se ha acabado optando claramente por una interpretación más extensiva

Implied consent is a valid form of consent and can be used in the context of compliance with the revised rules on cookies.

If you are relying on implied consent you need to be satisfied that your users understand that their actions will result in cookies being set. Without this understanding you do not have their informed consent.

You should not rely on the fact that users might have read a privacy policy that is perhaps hard to find or difficult to understand.

In some circumstances, for example where you are collecting sensitive personal data such as health information, you might feel that explicit consent is more appropriate.

Como podemos observar, se busca garantizar el derecho de información específicamente, en particular indicando que la política de privacidad no puede resultar difícil de entender o de encontrar para que cumpla con su objetivo. En caso contrario, nos encontraríamos ante un cumplimiento deficiente del derecho de información, con las consecuencias legales a que pueda haber lugar.

A mi juicio, un consentimiento implícito resulta más adecuado para facilitar una navegación fluida, sin que un simple popup molesto y que en muchos casos no es leído por el navegante suponga una garantía mayor de protección de derechos.Por otro lado, en España ya se ha iniciado un  procedimiento sancionador tal y como nos informa Pablo F. Burgueño en su blog en base a la discusión de si realmente se ha producido un consentimiento informado antes de que se haya producido la instalación de cookies en el terminal del usuario. Nada en la norma impone necesariamente que nos encontremos ante un consentimiento expreso, pero sí es cierto que podemos encontrarnos con algunas dificultades a la hora de establecer en qué supuestos y en qué momento entendemos que el usuario ha dado su consentimiento realmente informado y de forma previa, circunstancia que puede suponer el inicio de un procedimiento sancionador en aquellas webs en las que el mero acceso supone la instalación de las cookies y solo puede accederse a la información objeto del derecho a posteriori.

Respecto a esta necesidad de que el consentimiento sea expreso o si resulta posible de que este consentimiento previo e informado pueda ser implícito en España, la guía sobre las normas de uso de las cookies amplía con la siguiente redacción

Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares. También podrá obtenerse infiriéndolo de una determinada acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies.

Si bien a continuación se nos indica que la mera inactividad del usuario no implica la prestación del consentimiento por sí misma, soy de la opinión de que la permanencia en el sitio web una vez informado de la instalación de las cookies debería ser considerado como consentimiento implícito. Todo lo anterior sin perjuicio de que, efectivamente, la obligación de información deberá cumplirse antes del almacenamiento de las mismas en el equipo de los usuarios (no utilizando una política de privacidad que resulte dificultosa de encontrar y, por tanto, no efectiva), y de que deberá contarse con las herramientas técnicas que corresponda para diferenciar la simple inactividad de una actuación de un usuario que muestre claramente su deseo de utilizar el servicio al que está accediendo (con la dificultad que ello pueda suponer en la práctica).

¿A quién resultan aplicable estas obligaciones?

La introducción de la regulación en la LSSI supondrá que estas obligaciones serán aplicables exclusivamente a los prestadores de servicios, tal y como regula expresamente en su art. 22. Por lo tanto, si queréis saber si os tenéis que adaptar a esta norma tenéis que ver si sois prestadores de servicios en el sentido de la LSSI o no.

¿Qué es un Servicio de la Sociedad de la Información?

El concepto de Servicio ya venía recogido en la Directiva 98/34/CE del Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la sociedad de la información y en la Directiva 98/84/CE del Parlamento Europeo y del Consejo, de 20 de noviembre de 1998, relativa a la protección jurídica de los servicios de acceso condicional o basados en dicho acceso. El considerando 17 de la Directiva sobre Comercio Electrónico se hace eco de qué consideraban servicio de la sociedad de la información

se refiere a cualquier servicio prestado normalmente a título oneroso, a distancia, mediante un equipo electrónico para el tratamiento (incluida la compresión digital) y el almacenamiento de datos, y a petición individual de un receptor de un servicio

El concepto de «prestado normalmente a cambio de una remuneración» proviene de la interpretación del concepto de Servicio realizada por el Tribunal de Justicia Europeo en el marco de los Tratados constitutivos. Dentro de la jurisprudencia de este Tribunal podemos poner como ejemplo la Sentencia del caso Bond van Adverteerders y otros contra el Estado neerlandés , en la cual se analiza, entre otras circunstancias, si la difusión por medio de empresas que se dedican a explotar redes de cables establecidas en un Estado miembro de programas televisados emitidos desde otros Estados miembros y que contienen mensajes publicitarios específicamente destinados al público del Estado de recepción constituye efectivamente prestación de servicios en el sentido de los artículos 59 y 60 del Tratado de las Comunidades Europeas. En lo que respecta al caso que nos interesa, el carácter de la remuneración existente en los servicios del Tratado, la Sentencia hace referencia de forma expresa a que en la actividad objeto del litigio el prestador no recibe una remuneración directa por parte de los beneficiarios, pese a lo cual se sigue observando la existencia de remuneración

Los dos servicios de que se trata también se prestan a cambio de una remuneración en el sentido del artículo 60 del Tratado. Por una parte, las empresas que se dedican a explotar redes de cable cobran los servicios que prestan a las emisoras mediante los cánones que perciben de sus abonados. Poco importa que, por lo general, estas emisoras no paguen por sí mismas a las empresas que se dedican a explotar redes de cable para dicha transmisión. En efecto, el artículo 60 del Tratado no exige que el servicio sea pagado por sus beneficiarios.

De acuerdo con la interpretación del Tribunal, nada impide que se utilice un criterio como el de la obtención de ingresos indirectos por vía de publicidad para apreciar la naturaleza económica que lleva a cabo una determinada página web. Resulta así pacífica la interpretación de que dentro del concepto de servicio de la sociedad de la información quedarán englobadas determinadas actividades que no son remuneradas directamente por los usuarios pero sí revisten carácter económico, como son las analizadas con ocasión de los casos Metropolitan v Google , en el que un tribunal del Reino Unido aceptó el argumento de que Google, el motor de búsqueda, cumplía las condiciones necesarias para ser calificado como un servicio de la sociedad de la información, o el caso Mulvaney & Ors -v- The Sporting Exchange Ltd trading as Betfair , en el que se llegó a la conclusión de que el servicio de chat que ofrecía Betfair constituía un servicio de la sociedad de la información.

as the service provided by Betfair, through its Chatroom, clearly falls within the meaning of “relevant service” as defined by the 2003 Regulations, it follows that Betfair, in providing this service, is a “relevant service provider” and so an “intermediary service provider” within the meaning of the 2003 Regulations. Betfair is, therefore, entitled to the benefits of Regulations 15 and 18 of the 2003 Regulation

Por lo tanto, una web que realice una actividad económica, aunque ésta se manifieste exclusivamente a través de la incorporación de publicidad (y, por tanto, sus usuarios no pagan por ello) quedará sujeta a las obligaciones relativas a instrumentos de almacenamiento y recuperación de información en equipos de usuarios.

Interpretando a sensu contrario, aquellas webs sin actividad económica alguna no se encontrarán obligadas bajo pena de sanción a cumplir con estas obligaciones. Un caso especial es el de las Administraciones Públicas, respecto de las cuales se ha podido observar que en muchos casos no cumplen con la actual redacción de dicha obligación. Como muy bien indica Samuel Parra en su post, existen más que dudas sobre la aplicación a las webs institucionales.

En primer lugar, y a mi juicio, coincido con que las sedes institucionales no cumplen con todos los requisitos para poder hablar de un servicio de la sociedad de la información, al menos con carácter generalizado. Resulta posible que acabemos encontrándonos con entes dependientes que realicen una actividad económica y que, por tanto, deban someterse a las obligaciones de la LSSI, pero estos van a ser una minoría.

Es por esto que resulta llamativo el ejemplo que encontramos en la sección de cookies del Ministerio de Industria, Energía y Turismo

El Ministerio de Industria, Energía y Turismo tiene la obligación por el Real Decreto-ley 13/2012 que modifica la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, de informar y obtener el consentimiento del ciudadano acerca del uso de las cookies en sus páginas web.

Pese a este sometimiento voluntario a la norma, no cumple con las obligaciones en su actual redacción, lo cual puede aumentar el enfado de usuarios que con una pequeña web con un mínimo de publicidad se ven obligadas a cumplir obligaciones que representan una cierta dificultad técnica, mientras que sedes institucionales de gran importancia y que cuentan con los medios necesarios para ello quedan así exentas de la misma.

Nos encontramos así ante una regulación que, en la práctica, supone ignorar cuál es la realidad y que deja en la ilegalidad a un gran número de prestadores de servicios sin que exista en muchos casos un verdadero motivo para la imposición de obligaciones de esta naturaleza.

¿Solo se aplica a cookies?

Uno de los errores de interpretación más repetidos es el relativo a su ámbito objetivo. Recordemos que la norma habla de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, siendo las cookies un mero ejemplo de uno de ellos (utilizado en base a su uso generalizado). Por lo tanto, las alternativas que algunos usuarios se están planteando como es utilizar instrumentos alternativos a cookies que se basan asimismo en almacenamiento y recuperación de datos quedan asimismo incluídos en al ámbito de aplicación de la norma (debiendo por tanto cumplir con las obligaciones correspondientes).

7 COMENTARIOS

  1. Hola Sergio, gracias por el excelente post.
    Sigo teniendo algunas dudas sobre la aplicabilidad de las normas sobre cookies a las administraciones públicas. Por una parte parece claro que serán aplicables a los servicios prestados por una administración si estos revisten naturaleza económica. Y por otra parte, en cuanto a las actividades que no puedan calificarse de servicios de la sociedad de la información, es cierto que quedan fuera del ámbito de aplicación de la LSSICE. Pero también es cierto que la Directiva 2002/58, que es la que establece la obligación, tiene un alcance más amplio, que no excluye en general a las administraciones. El legislador español ha optado por transponer esta norma de la Directiva 2002/58 (que no de la 2000/31) en el marco de la LSSICE. Ahora bien, si con ello hay que concluir que deja fuera a quienes no sean prestadores de servicios de la sociedad de la información ¿quizás se trata de una transposición inadecuada?
    Y no es que tenga ningún interés en ampliar el ámbito de esta regulación!
    Saludos,
    Miquel

  2. Hola Miquel,

    efectivamente está el tema de la delimitación de esta «nueva regulación». Podría ser que utilizaran el considerando 25 de la Directiva 2002/58 en que se pone como ejemplo chivatos con propósito legítimo como el de facilitar el suministro de servicios de la sociedad de la información como si se tratara de un límite a la norma, o tal vez las referencias a proveedores de servicios, servicios con valor añadido entendidos como servicios de la SI… Yo en particular no entiendo por qué deben dejar de garantizarse los derechos relacionados con estos chivatos cuando hablamos de Administraciones Públicas sin actividad comercial (aplicándoseles otras normas relativas a PD), a menos que intentemos escapar por la vía del ejercicio de competencias de interés público y no tan comerciales. Miedo me da que ahora a alguien le de por afirmar que el incumplimiento de las obligaciones relativas a las cookies de la LSSICE impiden asimismo la invocación del régimen de exclusión de responsabilidad (que en el mundo hay de todo).

    Un saludo!

  3. Buenas,
    Hay un plugin de wordpress que permite poner solo la cookie de sesión de la web, pero al haber otro servicios en esa página como youtube o statcounter, se añaden esas cookies al navegador del usuario… ¿esto también está mal? ¿no se puede implantar ninguna? Vaya forma de complicar la vida…
    Saludos

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.