La aplicación de la ley de cookies europea en España

“Esta página web utiliza cookies”. Este es el mensaje que, cada vez con más frecuencia, encuentran los usuarios mientras navegan en Internet. Es así como los administradores de páginas web cumplen con la obligación de informar sobre el almacenamiento de los datos relevantes de los usuarios. Según la normativa europea sobre la protección de datos, conocida como “ley de cookies”, solo se permite la recopilación de esta información si el usuario ha proporcionado su consentimiento. En muchos países de la Unión Europea ya se aplica, entre ellos  España. ¿Cómo lo hace y cómo nos afecta?

La entrada en vigor en toda Europa del Reglamento General para la Protección de Datos (RGPD) , en mayo de 2018, también cambiará la normativa en España. Tal y como el reglamento indica, las directrices contempladas en dicha norma podrán ser especificadas o restringidas, a través de las normas internas de los países miembros. En España habrá una nueva Ley Orgánica de Protección de Datos (LOPD) que concretará aspectos recogidos en el RGPD y que sustituirá a la ley orgánica anterior, que databa de 1999. El nuevo texto fue presentado como anteproyecto de ley en junio de 2017 y está en la fase de consultas, modificaciones e información pública, previa a su aprobación. Asimismo, se planeó en un principio, que el nuevo reglamento de privacidad electrónica (Reglamento ePrivacy), cuyo borrador fue presentado oficialmente por la UE el 10 de enero de 2017, entrara en vigor al mismo tiempo que el RGPD, debido a que se trata de una ampliación del RGPD, especialmente en lo relativo al uso de cookies. Sin embargo, en la actualidad, el proyecto de nuevo reglamento sobre la privacidad electrónica sigue pendiente de aprobación en el Parlamento Europeo. No se espera que se convierta en ley antes de mayo de 2019, sustituyendo así a la anterior directiva de la UE. Pero ¿cuál es el estado actual de la normativa al respecto?

¿Qué son las cookies y para qué sirven?

Las cookies (“galletas”) son archivos de texto o dispositivos de almacenamiento que el navegador instala en el equipo del usuario cuando visita una página. Estos archivos almacenan datos sobre la visita a una página como, por ejemplo, información de acceso o autentificación y ajustes de idioma, que hacen que las próximas visitas sean más cómodas, al no tener que proporcionar esta información cada vez. A este aspecto de utilidad de las cookies se opone la crítica al considerarlas incompatibles con la protección de la privacidad del usuario. Y es que hay muchas cookies que registran determinados aspectos de los hábitos de navegación, de forma que permiten la individualización de la publicidad en los navegadores. En este sentido, son sobre todo las cookies de seguimiento y de segmentación las que más conflictos generan.

Una cookie contiene generalmente indicaciones sobre su propia durabilidad, así como un número generado por azar que sirve para reconocer al ordenador (o dispositivo que se use). El almacenamiento de datos mediante cookies se produce de forma anónima. Solo se almacenan datos personales cuando la página requiere autenticación, y conviene saber que solamente puede leer estos datos el navegador que ha creado la cookie.

Hecho

Los datos almacenados en un archivo de texto sólo pueden ser leídos por el servidor web que estableció la cookie.

Ley de cookies de la Unión Europea

La Directiva 2009/136/CE de 25 de noviembre de 2009 fue puesta en marcha por el Parlamento Europeo con la intención de garantizar y fortalecer la protección de los datos personales de los usuarios, debiendo ser aplicada hasta 2011por todos los Estados Miembros, lo que aún no ha sucedido totalmente.

La normativa de cookies europea, la llamada ley de cookies, prevé que el usuario que visita una página sea informado de una forma clara e inequívoca sobre el uso de cookies y que deba aceptar explícitamente el registro de sus datos personales. La única excepción la constituyen aquellas cookies que técnicamente son necesarias para el funcionamiento de la página, como pueden ser aquellas requeridas para la implementación de un servicio solicitado por el usuario. Estas son, por ejemplo, las cookies de sesión para el ajuste del idioma, los datos de acceso y del carrito de la compra o las de flash para la reproducción de contenidos multimedia.

Para poder aplicar la mayoría de las cookies se requiere la aprobación del usuario. Esto incluye todas aquellas cookies que técnicamente no son necesarias para el funcionamiento de la página web, como las cookies de publicidad que se usan en el marco del retargeting, las de análisis o las de redes sociales. La directiva europea no indica, sin embargo, cómo debían de aplicarse estas instrucciones. En especial en los aspectos referentes a la declaración de conformidad por parte de los usuarios de páginas web, reinaba una incertidumbre generalizada.

Contenido de la actual ley de cookies europea

Por medio de la directiva, la Unión Europea brinda una mayor protección a los datos personales de los usuarios de Internet distingue entre cookies técnicamente necesarias y no necesarias:

  1. Cookies técnicamente necesarias: el almacenamiento de datos necesario incluye las cookies que son claves para el funcionamiento de una web. Esto significa, por ejemplo, guardar los datos de inicio de sesión, la cesta de la compra o la selección del idioma mediante las llamadas cookies de sesión (que se borran cuando se cierra el navegador).
     
  2. Cookies técnicamente no necesarias: los archivos de texto se consideran cookies no necesarias, que no solo no sirven para la funcionalidad de la página web, sino que recogen otros datos. Estas incluyen:
  • Cookies de seguimiento
  • Cookies de segmentación
  • Cookies de análisis
  • Cookies de redes sociales

De acuerdo con la ley de cookies, las cookies necesarias se pueden establecer desde un principio, es decir, sin el consentimiento previo del usuario. En cambio, los visitantes de una página web deben dar su consentimiento antes de que las cookies guarden datos innecesarios. Por lo tanto, la directiva sobre cookies de la UE requiere una solución opt -in para las cookies innecesarias.

Esa es la diferencia entre el opt -out y el opt -in:

  • Opt -out: las cookies se establecen desde el principio, los usuarios solo pueden objetar el almacenamiento de cookies más tarde.
  • Opt -in: las cookies no se establecen desde el principio, sino solo cuando el usuario está de acuerdo con el almacenamiento de datos.

El estado actual del Reglamento ePrivacy

El primer borrador del reglamento sobre privacidad electrónica requería que el fabricante estableciera el nivel más alto de privacidad en la configuración del navegador. De esta forma, el navegador no aceptaría cookies de terceros y se eliminarían los banners que actualmente se utilizan tanto, pues los usuarios tendrían que decidir activamente aceptar las cookies cada vez que instalen un software. Este requisito se basaba en el principio de "privacidad desde el diseño" (privacy by design) ya establecido en el RGPD. Sin embargo, un borrador más reciente suaviza las normas sobre la configuración del navegador. El usuario, entonces deberá seguir decidiendo en función del dominio, si acepta o no las cookies.

La llamada prohibición de vinculación señala que el uso de un sitio web no puede depender de si los usuarios están de acuerdo con el uso de cookies. Sin embargo, existen propósitos legítimos que pueden requerir el uso de cookies. Por ejemplo, si un usuario necesita identificarse para realizar operaciones bancarias online o desea utilizar la cesta de la compra de una tienda en línea, a menudo se requieren cookies. Si los operadores del sitio web informan claramente a los usuarios del propósito, el consentimiento y el uso pueden vincularse.

Lo que va a cambiar con el nuevo Reglamento ePrivacy

El nuevo reglamento sobre privacidad electrónica se ocupará de regular la aplicación de dichas instrucciones. El borrador actual prohíibe todas las cookies que no sean técnicamente necesarias, salvo aprobación previa del usuario. En el primer borrador solo se hablaba de aplicaciones web, pero en la nueva versión de 22 de marzo de 2018, se incluyen todos aquellos tipos de comunicación basada en máquinas, tales como aplicaciones, correo electrónico y la recopilación de metadatos para llamadas VoIP. Además, también se aplica a la comunicación entre dos máquinas, llamada M2M.

El reglamento sobre privacidad electrónica también afectará a los proveedores internacionales de servicios de comunicación, ya que estipula que sus normas se aplicarán a todos los terminales que se encuentren dentro de las fronteras de la UE. En este sentido, es irrelevante dónde tiene lugar el tratamiento de datos de estos servicios.  

Por ejemplo, en el caso de EE.UU., la normativa relativa a la protección de datos es mucho menos estricta. En el conocido como caso Microsoft-Irlanda un tribunal estadounidense quiso obligar al gigante tecnológico a hacer accesible al gobierno de los EE.UU. los datos de sus clientes europeos. Microsoft tiene su sede en los Estados Unidos y, por lo tanto, está sujeta a la legislación aplicable en dicho país. Sin embargo, los datos de dicha compañía se almacenan y protegen en Alemania a través de una filial de Deutsche Telekom, llamada T-Systems. Si se tiene en cuenta de  que la legislación estadounidense solo se aplica en su territorio, la demanda podría evitarse en un primer lugar, pero lo cierto es que el proceso sigue en curso. Queda por ver hasta qué punto las legislaciones europea y estadounidense se interferirán mutuamente en el futuro.

Dado que el ámbito de aplicación del reglamento sobre privacidad electrónica, se extiende a todos los terminales que accedan a los servicios de comunicación en Europa, las empresas norteamericanas deberán considerar si localizan sus ofertas para Europa, limitándose así sus opciones de colocar publicidad segmentada, o si obligan a sus clientes a “pasar por caja”.

Opt in, opt out: ¿qué se recomienda?

La directiva europea de cookies aplicable hasta ahora, no dejaba muy claro si el usuario ha de confirmar el uso de cookies antes de que registren sus datos (opt in), o si se pueden usar desde el principio sin problemas (opt out).

Debido a esta ambivalencia, se aplicaba de diferente forma en todos los países miembros, –hasta la entrada en vigor del RGPD. La mayoría de estados de la Unión Europea integró la directiva en la normativa legal nacional, aunque en algunos se opta por el opt - in y en otros por el opt- o ut, habiendo incluso países que no han acabado de tomar una decisión al respecto. En definitiva, la aplicación de la ley de cookies en la Unión Europea es de todo menos unitaria.

Aplicación de la ley de cookies en España

La ley de cookies se encuentra contenida en el Real Decreto-ley 13/2012 de 30 de marzo de 2012, publicado en el BOE el 31 de marzo de 2012 y en vigor desde el 1 de abril del mismo año (es de cumplimiento obligado bajo pena de sanción). Reflejo de la Directiva europea de 2009, este decreto-ley se integra en la Ley 34/2002 de 11 de julio de servicios de la sociedad de la información y de comercio electrónico, ampliándola en el artículo 22 con la directiva europea sobre cookies. En él queda clara la necesidad de contar con la conformidad del usuario respecto al uso de sus datos, mediante la instalación en el terminal de dispositivos de almacenamiento, tales como cookies y la necesidad de avisar al usuario previamente. Solo se excluyen aquellas cookies necesarias para el funcionamiento de la página.

Un año después, en 2013, la Agencia Española de Protección de Datos publica la Guía sobre el uso de cookies, que fija, a partir de la ley europea, de qué se tiene que informar, cuándo y cómo.

En ella se especifica el procedimiento que se ha de usar para explicar el uso de cookies al usuario y pedir su consentimiento (página de bienvenida, ventana emergente, cabecera o pie de página, paso previo de aceptación antes de descargas o reproducciones), así como qué dispositivos de almacenamiento se excluyen de la normativa, como cookies de acceso, de autenticación, de ajustes personales o de sesión (token).

En general, el almacenamiento de las cookies no necesarias para la página ha de ser consentido por el usuario, que ha de ser informado sobre el uso que tienen, y qué información almacenan, si pueden identificar o no al usuario, también aunque el usuario haya ajustado el navegador para que acepte un tipo determinado de cookies. Se suele incluir un enlace a la página de protección de datos donde se incluye una Política de Cookies con la siguiente información:

  • Qué datos se recopilan
  • Por qué se almacenan estos datos
  • Durante cuánto tiempo serán almacenados
  • Quién es el responsable del almacenamiento de la información
  • Cómo se puede cancelar el consentimiento

Es importante proporcionar información sobre las cookies en la política de privacidad de una manera clara e inequívoca y siempre accesible. Usar un banner, una ventana emergente o una página independiente depende de varios criterios, principalmente técnicos. Una ventana emergente podría ser incompatible con algún navegador y, por lo tanto, ser bloqueada, mientras que una página web independiente podría confundir al usuario y aumentar la tasa de rebote.

Cookies y protección de datos: ¿qué pasará en el futuro?

Los operadores de sitios web deberán seguir de cerca la evolución de la aplicación de la conocida como ley de cookies, ya que la situación jurídica cambiará definitivamente con el Reglamento sobre privacidad electrónica. Aunque todavía no está claro cuán estricto será, este nuevo reglamento contiene más disposiciones acerca de la seguridad de los datos personales de los usuarios. Pero mientras la regulación de la privacidad electrónica no sea todavía legalmente vinculante, las cookies caen dentro de la esfera de los datos personales definidos en el capítulo 1 del RGPD, ya que recolectan datos que hacen al usuario identificable de cualquier manera (número de identificación, perfil de usuario, etc.).

La política de cookies en la UE también tuvo un impacto en el retargeting, donde los expertos en marketing online utilizan cookies de seguimiento para animar a los compradores a realizar más transacciones.

Sin embargo, con la introducción del Reglamento General para la Protección de Datos como parte de la normativa española, se aplicarán normas más estrictas para el tratamiento de datos personales. Aplicándola, los administradores web se ahorrarán mucho trabajo cuando más tarde entre en vigor la "nueva directiva sobre cookies", conocida como el Reglamento ePrivacy.

Por favor ten en cuenta el aviso legal relativo a este artículo.