Veinte meses de “Ley de cookies”

Aproximadamente 17.500.000 resultados encuentro en Google buscando algo que ni siquiera existe: La nombrada y renombrada Ley de cookies española. Y es que la famosa Ley, como muchos de vosotros sabréis, no es más que el apartado segunda del artículo 22 de la Ley de Servicios de Sociedad de la Información (en adelante, LSSI), cuya redacción actual responde a la transposición de una serie de Directivas europeas y que pretendía establecer un régimen más garantista para los usuarios de la red. Digo pretendía porque, como veremos, me temo que hasta el momento no lo ha conseguido.

Aunque el revuelo actual en esta materia surge a raíz de la famosísima Guía sobre el uso de cookies de la Agencia de Protección de Datos, lo cierto es que la nueva redacción del artículo 22.2 LSSI fue polémica desde el principio. Esto se debe, en mi opinión, a la oscura redacción y parca determinación de las obligaciones de los prestadores, máxime si tenemos en cuenta que, en este caso, debería haberse redactado en un lenguaje absolutamente claro y meridiano, puesto que está dirigido a personas que no necesariamente han de estar familiarizadas con la redacción jurídica y que, en muchas ocasiones, ni siquiera cuentan con un asesor legal. Para alcanzar esta conclusión no hay más que ver el aluvión de preguntas al respecto que se han encontrado en foros y blogs, en algunas ocasiones porque no se tenía muy claro cómo cumplir con esta normativa y en otras porque, directamente, muchos ni siquiera sabían si se les aplicaba o no.

¿Qué dice la Ley?

El art. 22.2 LSSI dispone lo siguiente:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

Me llama especialmente la atención la ausencia de la palabra “cookies”, dando por hecho que absolutamente todos los usuarios de la red saben que una cookie es un “dispositivo de almacenamiento y recuperación de datos en equipos terminales de los destinatarios”. Es cierto que redactar leyes limitativas en exceso trae como consecuencia su temprana obsolescencia. Si bien no es menos cierto que en numerosas ocasiones se acude a listas no taxativas para aclarar los preceptos. En mi opinión, no habría estado de más añadir, después de la referencia a los dispositivos de almacenamiento y recuperación de datos, un par de líneas del estilo “tales como las denominadas cookies y otros dispositivos asimilados”. Una aclaración, en fin, que arrojase algo de luz a aquéllos que no estamos introducidos a nivel técnico en esto de la informática.

Por otra parte, y entendiendo todos nosotros que este apartado se refiere a las cookies, nos queda todavía la difícil tarea de dilucidar las obligaciones que se regulan para aquéllos valientes que decidan hacer uso de este tipo de dispositivos. Atendiendo única y exclusivamente a la letra de la Ley, parecen desprenderse las siguientes obligaciones:

  • Previa información clara y precisa acerca de la finalidad del tratamiento de los datos almacenados. Es decir, para qué quiere los datos quien los recoge.
  • Posterior consentimiento de los usuarios. La Ley guarda silencio acerca del carácter expreso o tácito del mismo.

A continuación, la Ley entiende que se produce consentimiento cuando el usuario ha tenido la posibilidad de configurar su navegador para permitir o limitar la instalación de cookies. No está de más recordar que, actualmente, todos los navegadores ofrecen esta posibilidad, por lo que es recomendable que todo el mundo revise qué tipo de cookies tiene permitido instalar en su equipo.

Por último, la Ley excluye de la obligación de prestación de consentimiento informado previo la instalación de las denominadas cookies técnicas, es decir, aquéllas que son absolutamente necesarias para el funcionamiento de la red o la prestación del servicio.

Finalmente, voy a referirme brevemente al ámbito de aplicación para tratar de clarificar quiénes están obligados a cumplir con estos requisitos.

En cuanto al ámbito territorial, la Ley será de aplicación a aquellos prestadores de servicios que, bien estén establecidos en España, o bien cuando, estando establecidos en otro Estado, operen mediante un establecimiento permanente situado en España. En este punto es necesario matizar que no vale hacer la trampa de operar mediante un establecimiento situado de forma fraudulenta en un Estado en el que no se están prestando, de hecho, los servicios, puesto que la Ley dispone claramente que se atenderá al lugar en que efectivamente se realice, bien, en el primer caso, la gestión administrativa y la dirección de los negocios, bien, en el segundo supuesto, al lugar en que se realice toda o parte de su actividad.

Por lo que se refiere al ámbito personal, debemos acudir al Anexo de la Ley, donde se encuentran definidos, entre otros conceptos, los de servicios de la sociedad de la información, prestador de servicios y destinatario del servicio:

  • Son servicios de la sociedad de la información aquéllos que se presten “normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario”. A continuación se dice que esta definición comprende asimismo los “servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.” Es decir, no es preciso que el lucro proceda directamente de los destinatarios, sino que sería igualmente calificado como servicio de la sociedad de la información aquél cuyo lucro se obtenga, por ejemplo, a través de publicidad.
  • El prestador de servicios será la “persona física o jurídica que proporciona un servicio de la sociedad de la información”.
  • El destinatario del servicio será la “persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información”.

Por tanto, si tenemos, por ejemplo, una página web en que informamos de los resultados deportivos de la jornada, e incluimos banners con publicidad que nos reportan beneficios económicos, seremos prestadores de servicios de la sociedad de la información. Pongo este ejemplo en concreto para hacer ver que la Ley no limita los servicios en el sentido de que tengan que consistir necesariamente en una compraventa de productos. Se refiere a absolutamente cualquier tipo de servicio que reporte un beneficio económico al prestador por cualquier medio.

Y esto es todo. La Ley no dice ni más ni menos acerca de las cookies.

¿Qué dice la Agencia de Protección de Datos?

Hace unos meses la Agencia de Protección de Datos publicaba una guía explicativa del uso de las cookies tras la modificación de la LSSI donde se recogen las medidas que la propia Agencia considera adecuadas para dar cumplimiento a la norma y, por tanto, evitar una sanción.

Tras una breve introducción, la Guía comienza enumerando una serie de cookies que considera exceptuadas, por su cumplimiento de los requisitos para ser constitutivas de exención (páginas 5 y 6). Esta lista es, evidentemente, no limitativa, por lo que cualquier otra cookie que cumpla con los requisitos de exención que marca la Ley estará, en efecto, exenta de la obligación de información.

A continuación se abre un apartado de terminología y definiciones, donde se recogen los conceptos de cookie, dato, equipo terminal, servicio de la sociedad de la información, página web, espacio publicitario, inventario publicitario, usuario, editor, anunciante, agencias de publicidad y agencias de medios, redes publicitarias y empresas de análisis y medición (páginas 7 a 13). Puesto que no quiero ser reiterativa en exceso y que me quede una entrada más larga de lo necesario, prefiero no reproducir aquí las definiciones recogidas en la Guía. Recomiendo a quienes estén interesados en obtener una información más pormenorizada, que acudan a la referida Guía para la consulta de tales definiciones, que en mi opinión están bastante claras. No obstante, si alguien tiene alguna duda que quiera compartir conmigo, estaré encantada de atenderla.

Sí voy a detenerme más en la parte que considero el centro de la cuestión: las obligaciones de las partes (páginas 13 a 24). La Guía distingue dos obligaciones: el deber de información y la obtención del consentimiento.

En cuanto al deber de información, la Guía establece la necesidad de informar en el momento de solicitar el consentimiento de forma suficientemente completa para permitir a los usuarios entender la finalidad de la instalación y conocer los usos que se le darán a las cookies. Del mismo modo, recuerda la necesidad de que, habiendo prestado el consentimiento, el usuario tenga a su disposición de forma permanente y en todo momento la información sobre cómo revocar el consentimiento y eliminar las cookies.

Continúa la Guía refiriéndose a la forma de mostrar la información. En primer lugar, considera que actualmente debe partirse de que el nivel de conocimiento de los usuarios sobre las cookies y su gestión es muy reducido, por lo que recomienda emplear un lenguaje sencillo y que evite, en la medida de lo posible, la terminología técnica de difícil comprensión.

A continuación hace un desarrollo acerca de la importancia de la visibilidad y el adecuado encaje en la web de la información y destaca, como métodos más comunes para ofrecerla, los métodos de suministro a través de una barra de encabezamiento o pie de página; junto a la política de privacidad o en los términos y condiciones de uso, eso sí, en este caso debe estar destacada y separada del resto de la información ofrecida en los referidos textos legales; y mediante la información por capas, mostrando la información esencial en la primera capa y completar la misma mediante una segunda capa.

Si bien reconoce la adecuación a la norma de todos los métodos que describe, la Agencia parece decantarse por el método de información por capas, puesto que se encuentra más ampliamente desarrollado, con inclusión de textos ejemplificativos y explicación detallada de la información que debe incluirse en ambas capas.

Continúa la Guía refiriéndose a la obtención del consentimiento. La Agencia considera válida la prestación del consentimiento tanto mediante fórmulas expresas (clic en un apartado que indique “acepto” u otros términos similares), como de forma tácita, infiriéndolo de una determinada acción del usuario tras habérsele facilitado la información clara y de forma accesible. Muy importante resulta el hecho de que la Agencia excluye de manera expresa la posibilidad de que la mera inactividad del usuario implique la prestación del consentimiento por sí misma. El usuario debe realizar alguna acción. Esta acción puede ser el scroll, el clic en cualquier lugar de la página (siempre que no se trate de cerrar la misma, evidentemente), o cualquier otra acción que pueda imaginarse, con la condición de que esa acción no consista en permanecer en la página X tiempo (aunque el X tiempo sean 20 horas) sin hacer nada, y siempre que el usuario haya tenido acceso sin que para ello sea necesario que lleve a cabo acción alguna a la información relativa a la instalación de las cookies. Es decir, no es válido tampoco que se considere aceptación el que el usuario haga scrolling debido a que la información sólo es accesible a través de tal actividad.

Además, el usuario, dice la Guía, en todo caso podrá negarse a aceptar las cookies, incluso en aquellos casos en los que como consecuencia de tal negativa la funcionalidad de la web quede limitada o no sea posible.

En cuanto a las modalidades concretas de obtención del consentimiento, la Agencia menciona, entre otros, dice, los siguientes mecanismos:

  • Aceptación de los términos y condiciones de uso o de su política de privacidad al solicitar el alta en un servicio.
  • Durante el proceso de configuración del funcionamiento de la web.
  • En el momento en que se solicite una nueva función ofrecida en la web.
  • Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido en la web.
  • A través del referido formato de información por capas.
  • A través de la configuración del navegador.

Las cookies podrán instalarse una vez el usuario disponga de la información y éste preste su consentimiento. Dice la Guía que los destinatarios han de tener la oportunidad de examinar la información y decidir si permiten o no la implantación de los dispositivos. Esto es, no sirve de nada molestarse en dar una información ultra detallada y la obtención de un perfecto consentimiento expreso si la cookie se ha instalado en el momento mismo del acceso. La cookie ha de instalarse una vez el usuario ha consentido en la forma en que el prestador haya escogido que el mismo se preste.

Una vez prestado el consentimiento, no será preciso recabar el mismo cada vez que el usuario acceda a la página web. El mismo sólo deberá prestarse nuevamente en el supuesto de que se operen cambios en cuanto a las características y/o los fines del uso de las cookies cambian después de la válida obtención del consentimiento, siendo necesario informar al usuario de estos cambios y permitirle que vuelva a tomar una decisión al respecto.

Además, como quedó antedicho, los usuarios deben poder revocar el consentimiento prestado en cualquier momento, para lo cual deberá facilitarse la información relativa a la forma de revocación del mismo y eliminación de las cookies, así como de las consecuencias derivadas de la retirada del consentimiento.

Por último, se dedican las páginas 24 y 25 de la Guía al régimen de responsabilidad de las partes en la utilización de cookies. Comienza el apartado señalando que tal régimen no se contempla en la LSSI, y continúa describiendo el régimen de responsabilidad que será de aplicación.

¿Cómo están actuando los prestadores?

En este apartado haré tres distinciones de conductas, que ordeno de menor a mayor frecuencia de uso de acuerdo con mi propia experiencia y observación.

En primer lugar, y como nota común de forma generalizada, cabe decir que la mayoría de los prestadores han optado por el sistema de información por capas, muchos de ellos incluso copiando directamente los mensajes que la Guía incluye a modo de ejemplo. De ahí que, como muchos habréis observado, nos encontramos con relativa frecuencia un mensaje en el encabezamiento o el pie de página de muchas webs.

La primera conducta que voy a mencionar es, como acabo de señalar, la que he observado que se da con menor frecuencia: información por capas con obtención del consentimiento (en ocasiones a través del clic en “acepto”, en la mayoría a través del clic en cualquier otro elemento de la página) y posteriormente la instalación de la cookie. Una conducta, en definitiva, que, en mi opinión, cumple con los requisitos de la Agencia.

En segundo lugar, hay quienes instalan la cookie desde el momento en que se accede a la página, si bien en la misma incluyen el sistema de información por capas, solicitando consentimiento y demás. Bien, esto y nada es lo mismo. Si la cookie ya está instalada antes de que haya consentimiento, no se está cumpliendo con la Ley. La instalación de la cookie debe producirse una vez ha habido consentimiento, pero no antes.

En tercer lugar, lo que me he encontrado con más frecuencia es que no haya información, ni posibilidad de consentimiento, ni nada de nada de nada, pero sí que haya cookie. Huelga decir que este comportamiento tampoco cumple con la Ley.

No voy a dar una lista de nombres de webs que incumplen la Ley, puesto que podría pasarme el resto del mes escribiendo. No obstante, sí voy a mencionar ciertos organismos públicos que en sus páginas web no incluyen, ni tan siquiera, el aviso de instalación de cookies y, en cambio, sí las instalan. Para evitar una avalancha de quejas por esto, diré que me tomé la molestia de desinstalar todas las cookies de mi ordenador, entrar en cada una de las páginas, y apuntar las cookies concretas que me instalaron. Algunas de ellas técnicas o de sesión, y otras muchas no.

Cito páginas que, por una u otra razón, me llamó especialmente la atención que no hiciesen siquiera el intento de cumplir con la Ley, como sería a través de la inclusión de la información en sus páginas de inicio, aunque instalasen la cookie igualmente sin consentimiento. Estas páginas son la del BOE, la del SEPE, la de la Comunidad de Madrid y la del Ayuntamiento de Madrid.

He visitado otras páginas web de organismos públicos que me han instalado asimismo cookies sin información y consentimiento previos, si bien dado mi desconocimiento de los aspectos más técnicos, no sabría decir qué tipo de cookies son, por lo que prefiero no mencionarlos. Si bien no tengo ninguna duda acerca de las cookies de los sitios que he citado.

Conclusiones

Concluyendo ya con esta larga entrada, es más que evidente el rotundo fracaso de la normativa reguladora de las cookies en nuestro país.

En mi opinión, no ha servido más que para crear muchísimo revuelo, pero que no ha llevado a nada, puesto que la gran mayoría de las páginas web no cumplen con ella.

Quizá sea porque es una norma francamente mala. Difícil de comprender en lo que regula, y evidentemente incompleta. Cómo explicar, si no, el hecho de que se precise una Guía explicativa de veinticinco páginas para  tres párrafos de norma.

En cuanto a la Guía, nos encontramos en ella con aspectos que la Ley no regula, ni se infieren de ninguno de sus preceptos. Entonces… ¿Está la Agencia acudiendo a legislación general que no está citando y por tanto el ciudadano no puede consultar, o está actuando, de hecho, como legislador a través de su Guía? Las eventuales sanciones vendrían de manos de la propia Agencia, por lo que, claro está, lo que importa es lo que ésta considere que ha de aplicarse. Pero, ¿no produce una inmensa inseguridad jurídica el hecho de que un ciudadano con voluntad de cumplir sea sancionado porque se apliquen directrices que no se encuentran en la norma reguladora?

La iniciativa de la Agencia de publicar una Guía explicativa de una norma oscura me parece estupenda, pero pienso que no debería ser la única medida a adoptar. Pienso que es preciso revisar nuevamente, aunque no hayan transcurrido siquiera dos años desde su modificación, la regulación de las cookies, pero esta vez con algo más de sentido común.

Cuando apareció la Guía y la leí, fui a preguntarle a mi hermano, que es informático, acerca de las posibilidades prácticas de aplicación. Su respuesta fue clara: eso es insostenible. Entonces, yo me pregunto… ¿Consultó el legislador con informáticos expertos para dilucidar la posibilidad de aplicación de esta norma, o simplemente se dedicó a legislar desde el desconocimiento? Tras la lectura reiterada de la norma, sólo puedo concluir que el legislador no hizo bien su trabajo. No legisló para el mundo para el que esa Ley iba a ser necesaria, sino para un mundo teórico, con usuarios teóricos. Y así pasó, que le salió una norma que probablemente no entiende ni él mismo, o quizá él sí, pero desde luego sus destinatarios no, y que, bien porque no es viable aplicarla, bien porque no haya voluntad, bien por cualesquiera otros motivos, el caso es que no se está cumpliendo. Así, mientras el legislador se sienta a observar las consecuencias de una pésima redacción, los datos de los usuarios, que somos todos nosotros, circulan por la red de forma libre, sin consecuencias, sin solución y, casi siempre, sin conocimiento de los afectados que, nuevamente, somos todos.

Licencia de Creative Commons
Veinte meses de “Ley de cookies” by María Teresa Díaz Montesinos is licensed under a Creative Commons Reconocimiento-NoComercial-SinObraDerivada 3.0 Unported License.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s