El tratamiento de las cookies por los prestadores de servicios en Internet

Volver

Primeras sanciones economicas de la agencia española de proteccion de datos por infracciones por falta de informacion completa y clara sobre las cookies instaladas y utilizadas.

Como consecuencia de la transposición de la directiva 2009/136 CE en materia de comunicaciones electrónicas, en la Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante LSSI) se introdujo la exigencia del consentimiento informado de los usuarios con respecto al uso de archivos o programas informáticos que almacenen y recuperen datos en los equipos terminales de los usuarios, las conocidas como “cookies” (incluyendo flash cookies o dispositivos de almacenamiento local HTML5).

Actualmente los usuarios que utilizan los servicios ofrecidos en internet ya están acostumbrados a encontrar en las páginas web que visitan referencias a las cookies (sobre su finalidad fundamentalmente), pero en la mayoría de los casos no son conocedores en toda su extensión de que el uso de servicios en internet conlleva la instalación de ficheros o archivos (cookies) en sus terminales (ordenadores, móviles, tablets, etc.), que no sólo son necesarios para posibilitar la navegación y la correcta prestación del servicio ( por ejemplo las denominas “frontend”, o “external _no _cache” que permiten el funcionamiento del carrito de la compra on line, actualizar los precios de los productos ofrecidos, etc.), sino que en otros muchos casos, la instalación de cookies requiere cumplir con una serie de requisitos que giran entorno al previo conocimiento informado que debe tener el destinatario de servicios en internet y su previo consentimiento para la instalación de éstas en su terminal, sería el caso por ejemplo de aquellas cookies que permiten obtener información sobre el comportamiento de navegación de los usuarios que visitan una web, medir las tendencias y aspectos estadísticos de la navegación o insertar vídeos publicitarios en los sitios web. En definitiva se trata de que los usuarios de los servicios de internet conozcan de forma completa y clara los fines legítimos del uso de las cookies de manera que no suponga una intrusión injustificada en su esfera privada.

Con tal fin la Agencia Española de Protección de Datos (en adelante AEPD) en abril de 2013, elaboró y publicó una guía interpretativa pionera en Europa con la intención de servir de ayuda a consumidores y prestadores de servicios en internet, a fin del mejor conocimiento y cumplimiento de la normativa en materia del tratamiento de las cookies para la obtención del consentimiento informado del usuario que exige la LSSI en su artículo 22.2.

Desde el departamento de Departamento de Tecnologías de la Información y Comunicaciones Electrónicas de Belzuz Abogados (TIC) recomendamos su consulta y seguimiento, pues si bien aún no hay una solución uniforme sobre cómo cumplir con las obligaciones en materia de aplicación de la nueva regulación de las cookies, lo cierto es que la AEPD ya ha comenzado a imponer sanciones en la materia, básicamente por no ajustarse a las recomendaciones que ya constaban en su citada Guía de uso de las cookies.

Algunas de las cuestiones que trataba dicha Guía y que traemos a colación son:

1/ Que para la AEPD el grado de información que es preciso comunicar debe ser el adecuado a una persona de nivel medio en cuanto a conocimientos en la materia se refiere.

2/ Considera la AEPD que debe potenciarse la visibilidad y el acceso a la información relativa a las cookies, de manera que será conveniente emplear técnicas que permitan que pueda ser visualizada la información con suficiente tiempo para su lectura, o que exista separación de la información referente a las cookies respecto a otros textos como “la política de privacidad”.

3/ En cuanto al modo de proveer la información, considera la AEPD que se debería efectuar de forma separada (información por capas), de manera que por un lado se haga referencia a la información esencial del uso, tipo, y finalidad de las cookies y la implicación para el usuario que conlleva su consentimiento y por otro lado que se disponga de aquella que de forma permanente se refiera a la descripción y detalle de la cookies utilizadas y como desactivarlas.

4/ Por lo que se refiere al consentimiento del usuario considera la AEPD que se ha de informar de forma detallada de las consecuencias en caso de no conceder o no revocar el consentimiento.

5/ Y en cuanto a la determinación del método o el momento o fase que puede resultar más apropiado para obtener el consentimiento para usar cookies, éste dependerá del tipo de éstas que se van a instalar, de su finalidad y de si son propias o de terceros.

6/ La AEPD destaca los siguientes mecanismos para la obtención del consentimiento:

a) A través de la aceptación de los “Términos y Condiciones de uso del sitio web” o de su “política de privacidad”, en el momento en que el usuario solicita el alta en el servicio.

b) Durante el proceso de configuración del funcionamiento del sitio web o de la concreta aplicación.

c) Al momento de solicitar una nueva función ofrecida en el sitio web o en la concreta aplicación.

d) Antes del momento en que se vaya a descargar un servicio o una concreta aplicación ofrecida en el sitio web.

e) A través de la configuración del navegador.

Como ejemplo de las primeras sanciones económicas por parte de la AEPD exponemos la resolución R/02990/2013, que ha venido a ratificar lo ya expuesto en sus recomendaciones, concluyendo en lo siguiente:

1.- Que el consentimiento del usuario podría obtenerse bien a través del habitual “acepto/click la Política de Cookies” o bien de forma tácita si se continúa navegando por el sitio web, admitiendo así un consentimiento tácito.

2.- Que para que el consentimiento sea válido, la información facilitada ha de ser clara y completa. No bastando con facilitar simplemente un aviso que informe de la existencia de cookies, sino que deben cumplirse unos requisitos mínimos, sugiriendo que puede proporcionarse la información mediante el sistema de “capas”, de modo que:

Una primera capa, debería contar necesariamente con la siguiente información:

a) Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.

b) Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.

c) Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.

d) Un enlace a la segunda capa informativa en la que se indica una información más detallada.

Esta información es necesaria para que el usuario conozca el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que ésta pueda obtener información adicional.

La segunda capa deberá incluir:

a) La definición de las cookies que se utilizan y su función.

b) El tipo de cookies utilizadas y su finalidad.

c) La forma de desactivar o eliminar las cookies descritas y la forma de revocación del consentimiento ya prestado.

d) La identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.

Cabe recordar que por la infracción del artículo 22.2 de la LSSI, en el caso de que se considerase leve la sanción podría alcanzar un importe de hasta 30.000 Euros, y de constituir una infracción grave ésta puede alcanzar un importe de 150.000 Euros.

Desde nuestro departamento de Tecnologías de la Información y Comunicaciones Electrónicas (TIC) queremos recalcar la importancia de que los responsables prestadores de servicios en internet no sólo cuenten con asesoramiento legal en una fase posterior, para el cumplimiento del marco regulador en el que se mueven en materia de protección de datos (con la redacción de textos legales sobre cookies, políticas de privacidad, etc.), sino también en un paso anterior, a la hora de contratar y concretar las responsabilidades de los profesionales técnicos encargados del desarrollo del contenido de páginas web y sus responsabilidades en caso de que la aplicación efectiva no responda a lo acordado en cumplimiento de la diversa materia normativa objeto de cumplimiento en relación con los servicios de la sociedad de la información.

Departamento de Tecnologías de la Información y de la Comunicación (TIC)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

Subir