Cookies y proyecto de Ley General de Telecomunicaciones
COOKIES Y PROYECTO DE LEY GENERAL DE TELECOMUNICACIONES
Cookies y el art. 22.2 de la LSSI desde el 1 de abril de 2012.
Cookies y su regulación legal. La actual redacción del artículo 22.2 de la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico se introdujo por el apartado tres del artículo 4 del R.D.-Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas («B.O.E.» 31 marzo), con vigencia desde el 1 de abril de 2012:
«Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario».
Por dispositivos de almacenamiento y recuperación de datos debemos entender las cookies, web bugs, web bacons y otros artefactos que permiten hacer algún tipo de seguimiento de las preferencias de navegación, configuraciones, etc. de los visitantes de sitios web.
¿Cómo debemos entender la prestación del consentimiento?
Este artículo 22.2 es la llamada «Ley de Cookies«: la transposición a la normativa española de la directiva comunitaria 2009/136/EC. No hay lugar a dudas o interpretaciones acerca de que el consentimiento de los usuarios debe ser después de que se les haya facilitado información clara y completa sobre las cookies. Luego, el simple aviso de «este sitio web usa cookies» no es suficiente. Esto lo explicábamos en nuestra entrada anterior.
La cuestión ahora es si basta con un consentimiento tácito o implícito (por la simple utilización del sitio web cabría entender que el/la usuario/a está consintiendo la instalación de cookies en su equipo) o si éste debe ser expreso. En tal caso haría falta una acción concreta del/la usuario/a de este estilo: «haga clic aquí si está conforme con la instalación de nuestras cookies» (por ejemplo). Veamos como cabe interpretar esto.
En el informe emitido por la Agencia de Protección de Datos (AEPD) con ocasión del proyecto de Ley general de Telecomunicaciones se hace referencia al dictamen del Supervisor Europeo de Protección de Datos (SEPD), publicado el 16 de octubre de 2010 en el Diario Oficial de la Unión Europea, que extractamos a continuación:
«99. (…) los navegadores web suelen permitir cierto nivel de control de determinados tipos de cookies. Actualmente, los parámetros por defecto la mayor parte de los navegadores aceptan todas las cookies (…). Sólo si el usuario modifica los parámetros de su navegador para no aceptar las cookies, cosa que (…) muy pocos usuarios hacen, no recibirá cookies. Además cuando los navegadores se instalan o se actualizan no están dotados de asistentes de privacidad.
100. Un modo de mitigar el problema anterior sería que en los navegadores se definieran unos parámetros de privacidad por defecto, es decir, que llevaran definido el prámetro de «no aceptación de cookies de terceras partes». Como complemento y para que esto fuera más efectivo, los navegadores deberían obligar a los usuarios a pasar por un asistente de privacidad durante su instalación o actualización (…). Se debería infomar debidamente a los usuarios que deseen ser observados a los fines de recibir publicidad, quienes deberían tener que cambiar la configuración del navegador para recibirla (en lugar de vice-versa). De este modo los usuarios tendrán un mejor control de sus datos personales y su privacidad. Esto sería, en opinión del SEPD, un modo efectivo de respetar y salvaguardar el consentimiento del usuario».
Luego, está claro que para el Supervisor europeo el problema se podría mitigar si saliesen actualizaciones de todos los navegadores web (Firefox, Opera, Chrome, etc.) que incluyan un asistente de instalación con un apartado dedicado a la configuración de la privacidad. De esta forma, la navegación posterior por sitios que instalan cookies estaría cubierta por un consentimiento expreso, general y previo del/la usuario/a para que se le instalen este tipo de dispositivos (cookies, web bacons, etc.) sea cual sea el sitio web por el que navegue. Consentimiento que se entendería dado en el momento que instaló o actualizó su navegador web habiendo pasado por dicho asistente de configuración de la privacidad. Realmente esta modificación técnica a realizar en los instaladores de los navegadores no parece compleja. Falta que por razones obvias (falta de competitividad frente a otros mercados) la industria decida implementarlos con carácter general o específicamente destinados a los usuarios europeos.
Pero hay una nota que no debemos pasar por alto. El Supervisor europeo está pensando, como expresa, «a los fines de recibir publicidad». Está claro que lo que preocupa es esto último: la elaboración de patrones de gustos y preferencias de los usuarios, sin su consentimiento, acerca de sus tendencias y hábitos de consumo determinantes para recibir publicidad. Entonces ¿esto aplica a otras cookies analíticas que no están orientadas a determinar patrones de consumo con fines publicitarios? ¿Y si las cookies, no es que sean sólo técnicas, es que sirven para obtener información acerca de donde provienen mis visitas o desde qué tipo de dispositivos están accediendo a la web mis usuarios (smartphones, tablets, etc.) pero no son en sí mismas utilizadas con fines publicitarios? ¿Entran todas en el mismo saco? Porque está claro que no todas tienen fines publicitarios. Y tampoco está claro para qué sirve cada cookie instalada, si ello no es explícitamente manifestado por su creador (y esto no es siempre así). Lo que ha hecho en este caso la AEPD es una interpretación extensiva, yendo más allá de los «fines de recibir publicidad».
Sigamos viendo el informe del SEPD citado por la AEPD:
«101. Teniendo en cuenta, por una parte, la amplitud del problema, es decir, el número de usuarios de Internet que están siendo observados actualmente basándose en un consentimiento ilusorio, y, por otra, la importancia de los intereses en juego, la necesidad de salvaguardias adicionales se hace más acuciante».
Con base en ello la AEPD se refiere al dictamen 2/2010 del Grupo de trabajo creado por el artículo 29 de la Directiva 95/46/CE y concluye:
«(…) no puede ignorarse que la necesidad de aceptar expresamente cada instalación de un dispositivo invisible (cookies) dificultaría enormemente la navegación por Internet hasta el punto de hacerla difícilmente viable; pero por otra parte no puede ignorarse que la Directiva 2009/136/CE exige para la instalación de los dispositivos (cookies) el consentimiento del interesado, no pudiendo considerarse que la mera instalación de un navegador que admite por defecto esa instalación, incluso sin el conocimiento del interesado, suponga la pestación por aquel de un consentimiento a dicha instalación».
Luego, con la redacción actual del art. 22.2 LSSI hace falta una información clara y completa antes de la instalación de cookies y ha de existir consentimiento expreso o que se deduzca claramente de las acciones del/la usuario/a (p.ej.: continuar navegando por el sitio web).
¿Cómo va a quedar el art. 22.2 LSSI con la aprobación de la Ley General de Telecomunicaciones?
En este momento tenemos tres redacciones:
– La vigente por RD-L 13/2012 (ver arriba en el apartado primero de este artículo).
– La que propone el Gobierno en el proyecto de Ley general de Telecomunicaciones (LGT) entregado al Congreso de los Diputados el 18/09/2013, donde sólo cambia el párrafo 2.º del art. 22.2 suprimiendo lo tachado:
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
– La que propone la AEPD a la vista del proyecto de LGT, acogiendo el dictamen del SEPD (página 30 del informe de la Agencia presentado al Congreso):
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Luego, el gobierno ha querido quitarle fortaleza a la previsión legal establecida en el RD-L 13/2012, seguramente acogiendo las peticiones de la industria y para intentar evitar la pérdida de competitividad que el marco actual supone para las empresas y profesionales que orientan su oferta de productos y servicios al mercado español.
La Agencia de Protección de Datos (AEPD) por su parte, se queda en un lugar intermedio y propone en la línea del SEPD, que se lleve a cabo la prestación del consentimiento «ex ante» durante la instalación o actualizacón del navegador. Sin embargo prescinde de la parte final de la redacción actual del RD-L 13/2012, por la cual ya no sería necesaria una «acción expresa a tal efecto». Luego con una acción durante la instalación o actualización del navegador sería suficiente para la AEPD.
Lo que está claro es que, tras la aprobación parlamentaria de la Ley, ya sea en el sentido propuesto por el Gobierno o por la AEPD, ya no será necesaria la acción expresa del destinatario para aceptar el tratamiento de datos en los mismos términos que expresa el RD-L 13/2012.
¿Y qué cabe esperar en este momento de la AEPD?
Aunque la redacción actual de la LSSI establece como hemos visto en su art. 22.2.2 una «acción expresa» si los usuarios de Internet visitan nuestros contenidos, después de haber tenido acceso a una información clara y completa del alcance de las cookies, cabe deducir que hay una aceptación implícita (no expresa) a que se instalen las cookies de nuestro sitio web. Y ya sea en la redacción dada por el Gobierno para reformar la «Ley de cookies» o la propuesta por la AEPD, deberemos tener constancia de tal consentimiento, al menos implícito, para tener la tranquilidad de que estamos cumpliendo con la Ley.
Con el proyecto de LGT en la mano no sería necesario un asistente de configuración de la privacidad del navegador (durante su instalación o actualización), bastaría para recabar el consentimiento del destinatario de las cookies con «el uso de los parámetros adecuados del navegador o de otras aplicaciones».
A criterio de la AEPD, sí que se debería proceder a su configuración durante la instalación o actualización del navegador, pero con ello sería suficiente. En lo sucesivo, cuando los usuarios naveguen por Internet, habiendo configurado los parámetros de privacidad del navegador a su gusto (durante su instalación o actualización), se entenderá que han prestado un consentimiento que sería anterior y general a la instalación de cualquier cookie afectada por la misma opción de configuración. Para que fuese más completo el «wizard» debería contemplar la recomendación del SEPD: llevar definida la opción de «no aceptación de cookies de terceras partes».
En definitiva este es el marco actual propuesto por la AEPD en su informe del 14/03/2013, dirigido a la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Infomación del Ministerio de Industria, Energía y Turismo, que se ha adjuntado para el debate parlamentario de la LGT.
Sigo teniendo dudas ¿Puedo conseguir información ampliada?
Claro, si lo deseas puedes hacer tu consulta sin compromiso desde nuestro formulario de contacto. Gustosamente te atenderemos.
Keywords: Ley de cookies, Directiva 209/136/EC, Art. 22 LSSICE 34/2002, proyecto de Ley General de las Telecomunicaciones de España 2013.