Recuerdo pocas modificaciones en la ley que hayan generado tanta ansiedad y cambios en la red como la directiva europea sobre comunicaciones electrónicas que provocó una pequeña pero relevante modificación de la LSSI española. Poco después de esta reforma los avisos de “usamos cookies” empezaron a poblar la web como suele ser habitual copiándose unos de otros sin que los usuarios tuvieran muy claro qué eran y los responsables de los sitios web, para qué nos vamos a engañar tampoco.
A lo largo de 2013 y 2014 varias noticias se publicaron en los medios sobre multas de miles de € por infringir la llamada “ley de cookies” (que como vemos realmente es un apartado de la LSSI) y la alarma cundió.
Hoy día 21 de octubre, la AEPD recopila en una nueva sección gran parte de la información que considera relevante para el cumplimiento de la legislación.
http://www.agpd.es/portalwebAGPD/canaldocumentacion/cookies/index-ides-idphp.php
Sin embargo, como en Blogoff queríamos hacer algo diferente y más divulgativo nos liamos la manta a la cabeza y con la inestimable colaboración de la AEPD os ofrecemos esta mini-entrevista con algunas preguntas que tanto si eres un blogger que escribe por amor al arte como si eres una empresa de comunicación, seguramente te habrás hecho.
Antes de empezar y por si no sabes de lo que hablamos, las cookies son pequeños archivos que los sitios web almacenan en el ordenador de sus visitantes con distintos objetivos. El ejemplo más conocido es el de los sistemas de estadísticas web como Google Analytics que a través de esa cookie permiten medir nuevas visitas o controlar la navegación a través de la página. Muchos otros servicios como por ejemplo YouTube o plugins populares para compartir en redes sociales utilizan cookies.
La guía más divulgativa que tiene la AEPD sobre este tema podéis encontrarla aquí:
Las respuestas a la entrevista han sido proporcionadas por Jesús Rubí Navarrete que actualmente ocupa el cargo de Adjunto al Director en la AEPD. Además ha sido Subdirector General de Inspección de Datos de la AEPD y vocal del Tribunal de Defensa de la Competencia. Es autor de diversas publicaciones en materia de publicidad, derecho de la competencia, procedimiento administrativo y protección de datos personales.
Blogoff – ¿Es la AEPD consciente de la incertidumbre que genera en Internet la aplicación de la directiva europea sobre cookies aún después de haber publicado una guía de ayuda?
Jesús Rubí – La Agencia Española de Protección de Datos es consciente del notable impacto que el cambio de la antigua regulación (que descansaba en la obligación de ofrecer al usuario la posibilidad de rechazar la implantación de cookies, un modelo de opt-out) a la nueva (en el que se exige que se informe al usuario y se recabe su consentimiento, un modelo de opt-in) tiene para muchos sectores de negocio en internet y para una pluralidad de agentes. Por ello ha tratado en todo momento de favorecer el cumplimiento de la normativa mediante una aproximación dialogada y flexible.
La Guía que comenta ha sido la primera en Europa sobre este tema que se ha elaborado conjuntamente por la Autoridad de control y los representantes de la industria. Es, por tanto, resultado del diálogo y del análisis conjunto para alcanzar una fórmula que ofrezca directrices y orientaciones, dejando margen para que las entidades afectadas puedan cumplir de una manera flexible con la normativa adoptando la solución más adecuada a su modelo de negocio.
B – ¿Se está actualizando esta guía o se tiene previsto facilitar una nueva de carácter divulgativo?
JR – Las directrices recogidas en la Guía, así como los ejemplos, definiciones y obligaciones de las partes (incluyendo el deber de información y la obtención del consentimiento) continúan plenamente vigentes a día de hoy, por lo que no está previsto el lanzamiento de una nueva Guía en breve.
No obstante, la Agencia trabaja para facilitar el cumplimiento de la ley, y para ello ofrece en su web a los responsables herramientas adicionales, como la publicación de los informes jurídicos y las resoluciones, que ofrecen información adicional sobre la aplicación de la ley en casos concretos. De hecho, la Agencia está trabajando en elaborar una nueva sección en su página web donde se recojan los documentos más relevantes acerca de esta materia. Se trata de reunir en un solo espacio online todos los materiales de la Agencia que pueden ser útiles a los responsables para cumplir con la normativa.
B – Dado que la problemática de las cookies se trata en el artículo 22 de la LSSI y que la LSSI afecta a aquellos prestadores cuyas páginas web constituyen una actividad económica ¿aquellas personas cuyos sitios web no generen actividad económica (entendiendo por esta lo que indica la LSSI) deben avisar del uso de cookies?
JR – La LSSI se aplica a prestadores de servicios de la sociedad de la información. El criterio para determinar si un servicio o página web está incluido dentro del ámbito de aplicación de la LSSI es si constituye o no una actividad económica para su prestador. Todos los servicios que se ofrecen a cambio de un precio o contraprestación están, por tanto, sujetos a la dicha Ley.
Sin embargo, el carácter gratuito de un servicio no determina por sí mismo que no esté sujeto a la Ley. Existen multitud de servicios gratuitos ofrecidos a través de internet que representan una actividad económica para su prestador (como los ingresos de patrocinadores) y, por lo tanto, estarían incluidos dentro de su ámbito de aplicación.
También es necesario apuntar que uno de los propósitos de la LSSI es la incorporación al ordenamiento jurídico español de la Directiva 2000/31/CE. Esta última recoge que “los servicios de la sociedad de la información no se limitan únicamente a servicios que dan lugar a la contratación en línea, sino también, en la medida en que representan una actividad económica, son extensivos a servicios no remunerados por sus destinatarios, como aquéllos que consisten en ofrecer información en línea o comunicaciones comerciales, o los que ofrecen instrumentos de búsqueda, acceso y recopilación de datos. Los servicios de la sociedad de la información cubren también servicios consistentes en transmitir información a través de una red de comunicación, o albergar información facilitada por el destinatario del servicio”.
Es decir, el concepto gira en torno al desarrollo de una actividad económica, sea remunerada directamente o no remunerada directamente pero que supone, en definitiva, la obtención de un beneficio para el prestador. Siempre que se trate de un servicio prestado a distancia, por vía electrónica y a petición individual del destinatario.
[nota de blogoff]: sobre qué supone un actividad económica y qué no de cara a la LSSI os recomiendo leer este artículo del Ministerio de Industria.
B ¿Están exentas las cookies analíticas, por ejemplo para el caso del popular Google Analytics?
[nota de blogoff]: en relación a esta nota de prensa [PDF].
JR – Las cookies analíticas no están exceptuadas con carácter general en el Dictamen 4/2012 del GT29. Lo que recoge el texto es que, pese a que no están exentas del deber de obtener un consentimiento informado para su uso, no parece probable generen un riesgo para la privacidad de los usuarios siempre que se cumplan unos requisitos: que se trate de cookies de primera parte, que se limiten estrictamente a fines de recopilación de información estadística agregada, que se facilite información sobre su uso y que se ofrezcan garantías adecuadas de privacidad.
B – Dejando de lado un momento la información sobre las cookies utilizadas en un sitio web; si el usuario tiene su navegador configurado para aceptar cookies ¿se entiende que acepta el uso de cookies o es necesaria una acción adicional por su parte?
[nota de blogoff]: en relación a un aviso como el que proporciona la AEPD en la guía sobre cookies, en su página 17:
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.
JR – En la ‘Guía sobre el uso de las cookies’ se nombran varias fórmulas válidas para la obtención de ese consentimiento, desde fórmulas expresas como hacer clic en un apartado que indique “consiento”, “acepto” u otros términos, a otras en las que el consentimiento se infiere de una determinada acción por parte del usuario. Y si a ello le sumamos que varios estudios han puesto de manifiesto que el usuario medio desconoce que a través de las cookies se analizan sus hábitos de navegación, que se pueden llegar a realizar perfiles muy precisos sobre su comportamiento en internet, y que esos perfiles pueden ser utilizados para fines muy diversos, no puede entenderse que una configuración por defecto o prefijada en un navegador suponga una aceptación.
B – La resolución R/02990/2013 del procedimientos PS/00321/2013 ha generado bastante preocupación sobre la forma correcta de informar sobre las cookies que usa un sitio web. Según esa resolución se indica que en una segunda capa, tras el aviso informativo inicial, se debe incluir:
1) Tipo de cookies que utiliza la página web y su finalidad.
2) Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
3) Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.
Dado que facilitar información de caracter tan técnico no está al alcance de muchos internautas ¿ofrece la AEPD o algún otro organismo ayuda para esta tarea?
JR – Permítame que, en primer lugar, puntualice que esos criterios ya estaban incluidos en la Guía de cookies y que la resolución que especifica tiene una fecha posterior a la de la publicación de la Guía. La resolución que menciona indica las insuficiencias de las cláusulas informativas adoptadas en ese caso, y también una valoración sobre por qué no cumplían adecuadamente.
La AEPD se ha propuesto clarificar y facilitar el cumplimiento de la ley en esta materia con los medios de los que dispone. Por ello le comentaba con anterioridad la importancia de consultar las publicaciones, los informes y las resoluciones que se hacen públicas en la web de la Agencia. Pero hay otra parte que depende del editor: aquellos que instalan cookies no exentas, bien por sí mismos o bien facilitando su utilización por terceros, tienen la obligación de informar a los usuarios que utilizan sus servicios de los puntos que comenta, ya que solo el conocimiento fomentará un uso responsable de las cookies.
B – Por último, y en referencia al punto 3 del apartado anterior ¿qué ocurre por ejemplo con el caso páginas web alojados en sitios de terceros? En casos como Blogspot (Google), páginas de Facebook o WordPress.com ¿de quién es la responsabilidad de informar sobre las cookies?
JR – En el caso que comenta en primer lugar, permítame que le apunte una resolución concreta y relativamente reciente [PDF] de la AEPD, que creo que le aportará una respuesta sobre los diferentes niveles de responsabilidad.
[nota de Blogoff]: en la comunicación (54 páginas) se describe el procedimiento sancionador que se ha iniciado a Google (no al responsable del blog) por infringir la LSSI en relación al uso e información de cookies durante la creación de un blog genérico en su plataforma]
Una reflexión final
Antes de nada reiterar mi agradecimiento al departamento de comunicación de la AEPD por hacer el esfuerzo de responder de forma extensa a estas preguntas y de verdad espero que la sección de cookies de su página web se vaya ampliando y mejorando desde el punto de vista divulgativo que busca la guía de cookies ya que en mi opinión un blog pequeño que tenga una actividad económica que le valga para pagar el hosting (lo que ha quedado claro que le incluye en la LSSI) debería tener alguna alternativa para cumplir con la legislación más allá de pagarse a un abogado de perfil tecnológico.
Por culpa mía y de agenda de la AEPD, hay una pregunta crítica que se me quedó en el aire y que espero poder añadir a esta sección en un futuro. La pregunta hace referencia a si se pueden instalar cookies de forma simultánea a la visualización de la primera capa de información.
A continuación un extracto de la guía de cookies:
iv. Cuándo pueden instalarse las cookies
Respecto al momento en el que hay que obtener el consentimiento para la instalación de la cookie debe recordarse que el artículo 22 de la LSSI señala que:
Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
En consecuencia, la instalación de la cookie podrá tener lugar cuando el usuario disponga de la información preceptiva sobre las cookies y la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos indicados. En este sentido, la instalación de las cookies debería ir acompañada por un consentimiento informado de los usuarios para tal instalación, de forma que los destinatarios tengan la oportunidad de examinar la información y decidir si permiten o no la implantación de estos dispositivos.
El 99% de los medios de comunicación españoles es lo que hacen: cuando estás leyendo el aviso ya tienes instalada una cookie estadísticas de Analytics o de Nielsen que registra tu visita. Si esto no fuera correcto (por ejemplo el plugin para WordPress cookillian ofrece la opción de no instalar cookies hasta que exista alguna acción adicional) el efecto sobre la publicidad online sería escalofriante.
Por algunos datos que manejo de cookillian, la tasa de aceptación está por debajo del 40% . De este 60% no creo que todo el porcentaje se deba una decisión informada sino a pereza o a miedo producido por el desconocimiento al que la propia AEPD hace referencia en la entrevista. Si a un anunciante se le ofrece datos de impresiones y visitantes únicos a través de sistemas de cookies ¿os imagináis el impacto de vender de golpe la mitad de visitas? Por supuesto se pueden ofrecer datos del lado del servidor pero a los medios auditados por Nielsen o similares seguro que les hacía mucha gracia.
Espero sacaros otro artículo pronto con recursos para cumplir con toda esta maraña legal. Hasta entonces, estoy seguro de que habréis aclarado alguna duda y generado alguna nueva. Yo hice lo que pude ;-)
Muy buen trabajo, Juan. Genialmente enfocada y enriquecida con mucho sentido común.
Esta última pregunta que te has dejado en el tintero es realmente la “madre del cordero”. La propia Guía lo ha dejado en el limbo con la industria celebrando la ambigüedad no habiendo conseguido un compromiso en favor del “consentimiento inferido” que ya tenían las Directrices ICO (v2) en Reino Unido.
Pero la ambigüedad juega en favor del regulador, que a su vez está condicionado por el sentir del momento en el GT29 (reuniendo a todas las Agencias). Ahora mismo hay un empuje muy fuerte en favor de permiso “previo” y la Guía, a pesar de sus ejemplos prácticos y feliz exposición, no aporta una pizca de seguridad jurídica, favoreciendo más bien que perfectamente nos encontremos ante el escenario que describes.
En conclusión: estamos igual que estábamos antes de la Guía. Con el ojo puesto en los Dictámenes del GT29, que son el verdadero pulso al umbral de cumplimiento.
Por fortuna hay también una avalancha de “datos de primera parte” en la industria de “Ad Tech” que reducirá la dependencia de cookies no analíticas.
Un saludo