«Esta página web utiliza cookies». Este es un mensaje habitual en Internet. Es con él, o con otros similares, como los administradores de las páginas web cumplen con la obligación legal de informar sobre el almacenamiento de las llamadas cookies en los equipos de los usuarios cuando consultan un sitio web. Según la Directivade Privacidad y Comunicaciones electrónicas europea ePrivacy, coloquialmente más conocida como «ley de cookies» por ocuparse ante todo de estos miniarchivos, solo se permite su instalación si el usuario ha proporcionado su consentimiento expreso. Por ello, al menos en el caso de las cookies de seguimiento, es necesario aplicar un procedimiento de opt-in. Así lo confirmaba el TJUE en una sentencia: antes de instalar las cookies, los usuarios tienen que dar su consentimiento.
Con la entrada en vigor del Reglamento de Protección de Datos europeo en mayo de 2018, se produjeron muchos cambios relacionados con el almacenamiento de datos sensibles de usuarios dentro de la UE. Además, al mismo tiempo debería haber entrado en vigor el Reglamento dePrivacidad y Comunicaciones electrónicas oReglamento de ePrivacy, ya que se trata de una concreción del RGPD en lo concerniente al uso de cookies. Sin embargo, este proyecto aún no se ha materializado. El proyecto, presentado oficialmente por la UE el 10 de enero de 2017, sigue hoy pendiente de aprobación.
NOTA: ¿Cuál es la diferencia entre un reglamento y una directiva? Un reglamento es legalmente vinculante para todos los países de la UE desde su puesta en vigor, mientras que una directiva debe ser incorporada en los marcos normativos de cada país.
El 1 de octubre de 2019, el Tribunal de Justicia de la Unión Europea se pronunció sobre el consentimiento de los usuarios a la instalación de cookies en su equipo. En realidad, no hizo más que confirmar el Reglamento en vigencia desde mayo de 2018, que establece la obligación de las empresas de informar debidamente al usuario sobre el uso de cookies en su plataforma y recabar su consentimiento expreso antes de instalarlos.
Según esta sentencia del TJUE, el consentimiento «supuesto» por medio de una casilla marcada por defecto no puede considerarse consentimiento expreso. Correcto es, en cambio, informar al usuario de qué cookies van a instalarse, con qué objetivo, a qué terceros se va a dar acceso a esos ficheros y durante cuánto tiempo estarán activas en el equipo, para que, en base a esta información, el usuario decida de forma consciente, activa y explícita consentir a su instalación. El TJUE no diferencia si estas cookies tienen acceso a datos personales o no, puesto que considera que todos los archivos contenidos en el equipo de un usuario pertenecen a su esfera privada y la normativa comunitaria protege al usuario de toda injerencia en su esfera privada.
El consentimiento del usuario ha de ser, así, activo y voluntario y basarse en una información previa. Esto significa, en primer lugar, que el usuario ha de marcar la casilla por sí mismo ; en segundo lugar, que no puede impedirse la navegación si no se aprueba el uso de cookies en el equipo , y, por último, que el usuario ha de saber qué está consintiendo.
Las cookies son archivos de texto o dispositivos de almacenamiento que el navegador instala en el equipo del usuario cuando visita una página web. Estos archivos almacenan datos sobre la visita como, por ejemplo, los de acceso o autentificación y los ajustes de idioma, que hacen que las próximas visitas sean más cómodas, al no tener que proporcionar esta información cada vez. A este aspecto de utilidad de las cookies se opone la crítica al considerarlas incompatibles con la protección de la privacidad del usuario. Y es que hay muchas cookies que registran determinados aspectos de los hábitos de navegación, de forma que permiten la individualización de la publicidad en los navegadores. En este sentido, son sobre todo las cookies de seguimiento y de segmentación las que más conflictos generan.
Los datos almacenados en un archivo de texto solo pueden ser leídos por el servidor web que instaló la cookie.
La Directiva 2009/136/CE de 25 de noviembre de 2009, dictada en 2009 y prevista su adopción por los Estados miembro para 2011, fue puesta en marcha por aquel entonces por el Parlamento Europeo con la intención de garantizar y fortalecer la protección de los datos personales de los usuarios, debiendo integrarse en los respectivos marcos legales de los Estados miembro.
La Directiva de privacidad electrónica y protección del consumidor prevé que el usuario que visite una página sea informado de una forma clara e inequívoca sobre el uso de cookies. Esto puede hacerse mediante una política de cookies o incluirse en la política de privacidad o en el aviso legal. Además, el usuario debe aceptar explícitamente el registro de sus datos personales. La única excepción la constituyen aquellas cookies que desde un punto de vista técnico son necesarias para el funcionamiento de la página, como pueden ser aquellas requeridas para la implementación de un servicio solicitado por el usuario. Estas son, por ejemplo, las cookies de sesión para el ajuste del idioma, los datos de acceso y del carrito de la compra o las de flash para la reproducción de contenidos multimedia.
Cookies técnicamente necesarias: el almacenamiento de datos necesario incluye las cookies que son clave para el funcionamiento de una web. Esto significa, por ejemplo, guardar los datos de inicio de sesión, la cesta de la compra o la selección del idioma mediante las llamadas cookies de sesión .
Cookies de redes sociales, que vinculan una web con plataformas como Facebook, Twitter, etc.
De acuerdo con la directiva de 2009, las cookies necesarias se pueden instalar desde un principio, es decir, sin el consentimiento previo del usuario. En cambio, los visitantes de una página web deben dar su consentimiento antes de que las cookies guarden datos innecesarios.
Esta es la diferencia entre el opt out y el opt in
Opt out: las cookies se instalan desde el principio; los usuarios solo pueden objetar el almacenamiento más tarde.
Nota: La sentencia del 1 de octubre de 2019 del TJUE desmantela de facto esta diferenciación, al considerar al opt in obligatorio incluso si no se manejan datos personales.
La ley de cookies se encuentra contenida en el Real Decreto-ley 13/2012 de 30 de marzo de 2012, publicado en el BOE el 31 de marzo de 2012 y en vigor desde el 1 de abril del mismo año . Reflejo de la Directiva europea de 2009, este decreto-ley se integra en el artículo 22 de la Ley 34/2002 de 11 de julio de servicios de la sociedad de la información y de comercio electrónico en 2014. En él queda clara la necesidad de contar con la conformidad del usuario respecto al uso de sus datos mediante la instalación en su terminal de dispositivos de almacenamiento, tales como cookies, y la necesidad de avisar al usuario previamente. Solo se excluyen aquellas cookies necesarias para el funcionamiento de la página.
Un año después de la publicación del Decreto-Ley, en 2013, la Agencia Española de Protección de Datos publica la Guía sobre el uso de cookies, la primera en Europa elaborada en conjunto por la autoridad de protección de datos y los representantes de la industria. En julio de 2020, la AEPD publica junto a IAB Spain y las asociaciones Autocontrol, anunciates y adigital, otra versión de la Guía para presentar las Directrices sobre consentimiento que el Comité Europeo de Protección de Datos había modificado en mayo de ese mismo año. Además, esta guía pretende servir de orientación para el correcto cumplimiento del artículo 22 de la LSSI, del RGPD y de la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales.
El documento remarca la obligación del consentimiento informado del usuario antes de que se produzca la instalación de los miniarchivos. Asimismo, presenta el rechazo del CEPD al uso del botón «seguir navegando» y puntualiza el empleo de los «muros de cookies».
Este documento también hace hincapié en la transparencia a la hora de informar sobre el uso de las cookies, que ha de estar disponible y accesible. En general, el almacenamiento de las cookies no necesarias para la página ha de ser consentido por el usuario de una forma clara e inequívoca tras haberle informado sobre el uso que tienen, qué información almacenan, si se transfieren sus datos a terceros, si pueden identificar o no al usuario y sobre el periodo de conservación de los datos .
¿Qué cambiará con el nuevo Reglamento ePrivacy
Según el mandato del Consejo, el reglamento ePrivacy abarcará tanto contenido como metadatos de comunicaciones electrónicas que se producen «mediante servicios y redes accesibles al público». Además, también se aplica a la comunicación entre dos máquinas transmitida por una red pública.
El Reglamento de ePrivacy también afectará a los proveedores internacionales de servicios de comunicación, ya que estipula que sus normas se aplicarán a todos los terminales que se encuentren dentro de las fronteras de la UE. En este sentido, es irrelevante dónde tiene lugar el tratamiento de datos de estos servicios.
Por ejemplo, en el caso de EE.UU., la normativa relativa a la protección de datos es mucho menos estricta. Dado que el ámbito de aplicación del reglamento sobre privacidad electrónica se extiende a todos los terminales que accedan a los servicios de comunicación en Europa, las empresas norteamericanas deberán considerar si adaptan sus ofertas para Europa siguiendo la nueva normativa, lo que limitaría sus opciones de colocar publicidad segmentada, o si obligan a sus clientes a «pasar por caja».
El primer borrador de la directiva de privacidad online preveía que el nivel de seguridad de los navegadores estuviera configurado de fábrica en el más elevado, con el cual no se aceptan cookies de terceros. Esto significaría la desaparición de los banners tan usados en la actualidad, ya que los usuarios tendrían que configurar el programa conscientemente para aceptar las cookies. Esta regla se basaba en el principio de «privacidad por diseño» que en la actualidad ya está integrada en el RGPD.
