El Real Decreto-ley 13/2012, de 30 de marzo, (también llamada Ley de cookies) introdujo, entre otros aspectos, modificaciones legislativas derivadas de la incorporación al ordenamiento jurídico español del nuevo marco regulador europeo en materia de comunicaciones electrónicas.
En el presente artículo nos vamos a centrar únicamente en dos aspectos, las modificaciones que introdujo dicho Real Decreto en la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante LSSI), y en concreto respecto a la exigencia del consentimiento de los usuarios en relación con el empleo en sus ordenadores de archivos o programas informáticos, las llamadas cookies, que son dispositivos de almacenamiento y recuperación de datos personales cuya finalidad, como es conocido, consiste en facilitar la navegación y la eficaz prestación de servicios en internet, lo que a su vez plantea riesgos en relación con el tratamiento de datos de carácter personal de los usuarios.
Y como segundo punto nos centraremos en la interpretación que al respecto hace la Agencia de Protección de Datos (en adelante AEPD), por la importancia que en la materia tiene su opinión.
Por lo que se refiere a las modificaciones que afectan a la LSSI, estas se encuentran recogidas fundamentalmente en el artículo 22.2, y su aspecto esencial es dejar clara la necesidad de disponer del previo consentimiento de los destinatarios con respecto al uso de archivos o programas informáticos que almacenen y recuperen datos en los equipos terminales de los usuarios –cookies-, En concreto, el nuevo párrafo primero del artículo 22.2 LSSI establece:
“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.
El anterior texto del artículo 22.2 LSSI exigía únicamente haber informado a los destinatarios de manera clara y completa sobre su utilización y finalidad, así como ofrecerles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito, con la nueva redacción se clarifica la necesidad de disponer del consentimiento previo.
No obstante, cabe destacar que pese a la reforma, se mantiene la excepción prevista en el artículo 22 respecto a que no se requiere consentimiento previo, cuando se trate de “almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”, lo que resulta de gran trascendencia habida cuenta del frecuente empleo de estos dispositivos en relación con ciertos servicios.
En relación con la forma de facilitar información y obtener el consentimiento de los usuarios, el Real Decreto-ley 13/2012 sí establece que, “Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.”.
Por último, la nueva redacción dada al párrafo a) del artículo 31 LSSI establece quiénes cuentan con legitimación activa para interponer acciones de cesación contra las conductas contrarias a la LSSI que lesionen intereses colectivos o difusos de los consumidores, quedando expresamente incluidos aquellos que “pudieran verse perjudicadas por infracciones de las disposiciones contenidas en los artículos 21 y 22, y entre ellas, los proveedores de servicios de comunicaciones electrónicas que deseen proteger sus intereses comerciales legítimos o los intereses de sus clientes”.
Por su parte la AEPD ha elaborado una guía interpretativa que sirve de ayuda sobre el cumplimiento de la modificación de la LSSI respecto a la materia tratada, esto es, el tratamiento de las cookies y la obtención del consentimiento del usuario. A continuación tratamos de forma resumida los principales criterios y consideraciones de la AEPD.
En primer lugar indicar que para la AEPD el grado de información que es preciso comunicar debe ser el adecuado a una persona de nivel medio en cuanto a conocimientos en la materia se refiere.
Considera la AEPD que debe potenciarse la visibilidad y el acceso a la información relativa a las cookies, de manera que será conveniente emplear técnicas que permitan que pueda ser visualizada la información con suficiente tiempo para su lectura, o que exista separación de la información referente a las cookies respecto a la política de privacidad genérica del sitio web para mayor claridad, el tipo de formato del enlace, etc.
En cuanto al modo de proveer la información, considera la AEPD que se debería efectuar de forma separada (información por capas), de manera que por un lado se haga referencia a la información esencial del uso, tipo, y finalidad de las cookies y la implicación para el usuario que conlleva su consentimiento y por otro lado que se disponga de aquella que de forma permanente se refiera a la descripción y detalle de la cookies utilizadas y como desactivarlas.
Por lo que se refiere al consentimiento del usuario considera la AEPD que se ha de informar de forma detallada de las consecuencias en caso de no conceder o no revocar el consentimiento.
Y en cuanto a la determinación del método o el momento o fase que puede resultar más apropiado para obtener el consentimiento para usar cookies, éste dependerá del tipo de éstas que se van a instalar, de su finalidad y de si son propias o de terceros.
La AEPD destaca los siguientes mecanismos de obtención del consentimiento:
-. A través de la aceptación de los Términos y Condiciones de uso del sitio web o de su política de privacidad, en el momento en que el usuario solicita el alta en el servicio.
-. Durante el proceso de configuración del funcionamiento del sitio web o de la concreta aplicación.
-. Al momento de solicitar una nueva función ofrecida en el sitio web o en la concreta aplicación.
-. Antes del momento en que se vaya a descargar un servicio o una concreta aplicación ofrecida en el sitio web.
-. A través de la configuración del navegador.
En resumen cabe indicar que no habiendo una solución uniforme sobre cómo cumplir con las obligaciones en materia de aplicación de la nueva regulación de las cookies, resulta clarificadora la opinión de la AEPD, puesto que servirá de guía a los especialistas en la implementación de las nuevas medidas a adoptar en las cláusulas informativas de los sitios web de sus clientes con el fin de dar cumplimiento a las nuevas obligaciones previstas en la normativa sobre la materia.
Departamento de Tecnologías de la Información y de la Comunicación (TIC)
Belzuz Abogados SLP
La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.