Juan Flaquer Riutort
Universitat de les Illes Balears
https://doi.org/10.18800/themis.202101.007
LA FUNCIÓN PUBLICITARIA DE LAS COOKIES: MECANISMOS DE PREVENCIÓN Y CAUTELA EN EL DERECHO ESPAÑOL
THE ADVERTISING FUNCTION OF COOKIES: PREVENTION AND PRECAUTIONARY MECHANISMS IN SPANISH LAW
Juan Flaquer Riutort*
Universitat de les Illes Balears
The Internet increasingly radiates its essentialness in relationships, and in the different areas and activities of people. However, as we make a greater use of it, we expose our personal data to be stored and processed by third parties for commercial purposes. This is made possible by a tool that is present in most of the websites we browse on a daily basis: cookies.
In this article, the author assesses the risks involved in the use of cookies for advertising purposes without an adequate legal framework. Furthermore, he analyzes the prevention and precautionary mechanisms to follow in order to ensure a balance that respects the rights of users.
Keywords: Behavioral advertising; internet; cookies; privacy; consent
El internet cada vez más irradia su esencialidad en las relaciones, y en los diferentes ámbitos y actividades de las personas. No obstante, a medida que hacemos un mayor uso de este, nos exponemos a que nuestros datos personales sean almacenados y tratados por terceros con fines comerciales. Ello es posible a través de una herramienta que está manifiesta en gran parte de los sitios web que navegamos diariamente: las cookies.
En el presente artículo, el autor evalúa los riesgos que supone el empleo publicitario de las cookies sin un marco legal adecuado. Asimismo, analiza cuáles serían los mecanismos de prevención y cautela a seguir para garantizar un equilibrio que respete los derechos de los usuarios.
Palabras clave: Publicidad comportamental; internet; cookies; privacidad; consentimiento
I. INTRODUCCIÓN
La importancia del internet en nuestra sociedad actual es una realidad incuestionable. Su proyección en la vida de los ciudadanos no hace sino crecer exponencialmente, manifestándose en la mayor parte de sus ámbitos, relaciones y actividades, sin que el sector económico constituya una excepción a ello. De hecho, cada vez son más las compras que se llevan a cabo en la red y buena parte de la publicidad que desarrollan las empresas se efectúa ya hoy en día de modo digital, hasta el punto de que la inversión en este sector se multiplica año a año y las empresas dedican buena parte de sus esfuerzos a asegurarse una presencia destacada en internet.
En este contexto, una de las formas en que esa publicidad se manifiesta es precisamente a través de la utilización de cookies o tecnologías de naturaleza similar. El objeto de este trabajo es justamente profundizar en dicha cuestión, tratando de analizar los evidentes riesgos que, en lo referido a la privacidad de las personas, puede plantear dicha técnica publicitaria, así como los mecanismos de prevención y cautela que pueden adoptarse en tal sentido.
Para ello, procederemos, en primer lugar, a explicar en qué consisten las cookies y las diferentes modalidades bajo las que se pueden presentar. Seguidamente, nos referiremos específicamente a su función publicitaria y al marco legal básico de referencia en el que se desenvuelve la materia objeto de estudio en nuestro país. Para finalizar, abordaremos los mecanismos de cautela y de prevención que pueden ser utilizados en la práctica, detallando las obligaciones y la responsabilidad en las que pueden incurrir las partes en la utilización de las cookies.
II. CONCEPTO Y CLASES DE COOKIES
Se conoce con dicho término aquellos archivos o dispositivos que se descargan al acceder a un determinado sitio web en el equipo terminal del destinatario de un servicio de la sociedad de la información, con la finalidad de almacenar datos que podrán ser actualizados y recuperados por la entidad que las instala, o incluso por un tercero, en el momento en que ese usuario vuelva a conectar con ese sitio o con otro que forma parte de la misma red. En otras palabras, por medio de las cookies, los prestadores de servicios obtienen datos relacionados con los usuarios, susceptibles de ser utilizados para diversos y variados fines.
Existen diversos tipos de cookies, las cuales se clasifican en función de la entidad que las gestiona (propias y de terceros), del plazo en que permanecen activas en el equipo terminal del usuario (de sesión y persistentes) y también de la finalidad o propósito que persiguen (técnicas, de análisis y publicitarias). Además, es destacable que una misma cookie puede ser incluida en más de una categoría (cookies polivalentes).
Las cookies propias son archivos que se envían al equipo o terminal del usuario desde el equipo gestor de la página web visitada y desde el que se presta el servicio solicitado, mientras que las cookies de terceros son aquellas otras que se envían desde otro terminal distinto al del gestor de la web visitada, con independencia de que será siempre el titular de la cookie el responsable del tratamiento de los datos personales por ella obtenidos.
Por su parte, las cookies de sesión o de entrada son aquellas que se mantienen solamente durante el tiempo que el usuario accede a un sitio web, siendo un ejemplo característico de ellas las utilizadas por los portales de comercio electrónico para recordar los productos añadidos al carrito de compra. Por otra parte, las cookies persistentes son almacenadas en el equipo del usuario de modo permanente, es decir, por un periodo de tiempo superior al de la simple sesión en que fueron instaladas.
Sin embargo, la distinción que nos interesa destacar especialmente ahora es aquella otra que fija su atención en la finalidad perseguida a través de su uso. Desde esta perspectiva, en un primer momento, las cookies tuvieron un carácter eminentemente técnico. Su propósito esencial era facilitar la prestación del servicio al usuario de internet, sirviendo de claro ejemplo aquellas que permiten recordar una contraseña al efecto de que la misma no tenga que proporcionarse de nuevo en cada conexión ulterior.
Con carácter más general, dentro de este grupo de cookies denominadas técnicas, la doctrina ha identificado las siguientes: (i) cookies de autenticación o identificación de usuario, que sirven para identificar al usuario desde el momento en que inicia la sesión; (ii) cookies de sesión de reproductor multimedia, que almacenan datos técnicos necesarios para reproducir el contenido de videos o audios; (iii) cookies de sesión para equilibrar la carga, que permiten distribuir el tratamiento de las solicitudes de un servidor web entre varios terminales en lugar de uno solo; (iv) cookies de personalización de la interfaz del usuario, que permiten al usuario navegar con unas características predefinidas, como puede ser la lengua de preferencia; y, finalmente, (v) cookies de complemento para intercambiar contenidos sociales o plug-in, cuya finalidad esencial es que los usuarios de una misma plataforma social puedan intercambiar los contenidos que deseen o publicar comentarios (Navas Navarro, 2015, pp. 4 & ss).
Con todo, la finalidad de las cookies no se detiene en estos aspectos meramente técnicos, sino que el paso del tiempo ha demostrado que su instalación permite, asimismo, conseguir utilidades que van mucho más allá de esa primigenia finalidad. Así, puede hablarse también de cookies de análisis o de medición, que son aquellas cuyo propósito esencial es el de permitir al responsable de su instalación el seguimiento y análisis del comportamiento del usuario en la red. Es decir, ya no se trata solo de mejorar la prestación del servicio y, más específicamente, de facilitar su uso al destinatario, sino que se va más allá: se pretende utilizar la huella o los datos que deja cada sesión para comprender mejor, por medio de estadísticas, el perfil de los distintos usuarios, lo que podrá ser empleado, entre otras cosas, para mejorar los sitios web, aplicaciones, productos, servicios y anuncios visitados.
Pero, ahondando aún más en esa capacidad de las cookies para servir a finalidades más allá de las puramente técnicas, puede hablarse también de cookies publicitarias y de publicidad comportamental (behavioural advertising), que tienen como objetivo último una gestión más eficaz de los espacios publicitarios que aparecen en un sitio web, sobre la base de criterios como el contenido editado o la frecuencia en la que se muestran los anuncios. Se comprende de inmediato la extraordinaria importancia que tiene este tipo de herramientas, en la medida que todo el entramado construido en torno a la red y a esa gran aldea global en la que consiste internet, solo puede entenderse, y lo que sin duda es más relevante sostenerse, sobre la base de los ingresos publicitarios que genera todo este mercado virtual.
III. LA FUNCIÓN PUBLICITARIA DE LAS COOKIES
Es precisamente en esa sede que podemos percibir claramente la distinción entre dos conceptos que se revelan esenciales en este campo de la publicidad digital. Por un lado, el de editor, que se corresponde con aquella entidad prestadora de servicios de la sociedad de la información titular de una página web a la que puede acceder un usuario y para cuya prestación se utilizan cookies. Por otro lado, el de anunciante, que será aquel sujeto que pretende servirse de los soportes ofrecidos por el editor en su página web a efecto de publicitar sus productos o servicios.
Pues bien, es en este contexto en el que cobra trascendencia la finalidad publicitaria de las cookies, habida cuenta que el aprovechamiento de sus utilidades permite al anunciante asegurarse una publicidad mucho más personalizada y eficaz en los canales que pone a su disposición el editor. Dicho de otro modo, la posibilidad de ofrecer una publicidad ajustada al gusto y la preferencia de cada usuario constituye uno de los aspectos básicos que permiten sostener el mercado de la publicidad digital.
Naturalmente, este tipo de cookies publicitarias entraña un riesgo evidente para la privacidad del usuario, toda vez que tienen como finalidad detectar los gustos y las preferencias de este por medio del análisis y de la observación continuada de sus hábitos de navegación en la red. Se trata, por consiguiente, de una técnica especialmente intrusiva, aunque, como decíamos, absolutamente necesaria en el contexto del marketing digital y en el desarrollo consiguiente de lo que ha venido a denominarse publicidad comportamental, puesto que permite a las empresas anunciantes realizar un rastreo o tracking de las acciones de los usuarios de internet (palabras clave utilizadas, sitios web visitados y su frecuencia, etcétera). Esto facilita, a su vez, la configuración de perfiles predictivos susceptibles de ser utilizados posteriormente como publicidad a medida o personalizada.
El Dictamen 2/2010, emitido el 22 de junio de 2010 por el Grupo de Trabajo de Protección de Datos del Artículo 29 (en adelante, GT29), sobre publicidad comportamental en línea, define este tipo de publicidad como aquella
basada en la observación continuada del comportamiento de los individuos, que busca estudiar las características de dicho comportamiento a través de sus acciones (visitas repetidas a un sitio concreto, interacciones, palabras clave, producción de contenidos en línea, etc.) para desarrollar un perfil específico y proporcionar así a los usuarios anuncios a medida de los intereses inferidos de su comportamiento (p. 5).
Con relación a ello, el GT29 no cuestiona los beneficios económicos que la publicidad comportamental pueda aportar a los que la practican, pero cree firmemente que esta práctica no debe realizarse a expensas de los derechos a la intimidad y a la protección de datos de las personas.
En una época como la actual, en que la navegación por medio de internet, a través de un sinfín de sitios web, constituye una práctica casi diaria de la mayor parte de los ciudadanos, se comprende fácilmente que la posibilidad de almacenar, recopilar, clasificar y, en última instancia, utilizar los datos o, si se prefiere, la huella que deja el usuario en la red, constituye un elemento de incalculable valor para cualquier empresa cuyo objetivo último sea la producción de bienes o servicios en el mercado. Mas en particular, su propósito esencial se dirige a un objetivo claro: el envío posterior de publicidad online al destinatario sobre la base del perfil previamente trazado con arreglo a la información que las cookies han permitido generar y almacenar.
El GT29, en el ya citado Dictamen 2/2010, nos explica el funcionamiento de este tipo de cookies, denominadas de rastreo:
el proveedor de redes de publicidad coloca una cookie de rastreo [que será distinta para cada buscador] en el terminal del usuario, la primera vez que este visita un sitio de internet que exhibe un anuncio de su red. […] el cookie así instalado permitirá al proveedor de la red de publicidad reconocer a un antiguo visitante que vuelve a dicho sitio o visita cualquier otro sitio asociado de la red publicitaria. La repetición de visitas permitirá al proveedor de la red publicitaria construir un perfil del visitante que se utilizará para producir publicidad personalizada (2010, p. 6).
De esta forma, como advertíamos anteriormente, se consigue una gestión mucho más eficiente de los espacios publicitarios que aparecen en cada sitio web, puesto que los mismos se verán personalizados conforme a los gustos y las preferencias de cada específico usuario, tomados, a su vez, de los datos que han sido almacenados y tratados previamente por medio de las cookies publicitarias instaladas en ese terminal. De tal modo, se logra que dos usuarios que visiten el mismo sitio web, el mismo día y a la misma hora, no vean el mismo contenido, ya que este va a depender del perfil particular de cada uno de los usuarios (Navas Navarro, 2015, p. 68).
Esta idea aparece definida de modo muy claro en cualquier sitio web que haga uso de este tipo de técnicas publicitarias. Tomemos como ejemplo de ello el caso de eBay, una conocida plataforma de compraventa a disposición de los particulares, en cuya página web, en la sección o pestaña dedicada precisamente a cookies, balizas web y tecnologías similares, puede leerse lo siguiente:
[c]uando usas nuestros Servicios, nosotros, en colaboración con proveedores externos autorizados, utilizamos cookies y tecnologías similares. Utilizamos cookies y tecnologías similares que no se guardarán en tu dispositivo o que solo lo harán durante el tiempo que tu navegador esté activo (p. ej., cookies de sesión). Además, usamos cookies y tecnologías similares que se guardarán en tu dispositivo durante un período más largo (p. ej., cookies persistentes). Siempre que es posible, tomamos medidas de seguridad adecuadas para evitar el acceso no autorizado a nuestras cookies y tecnologías similares. Un identificador único (ID) garantiza que solo nosotros y proveedores externos autorizados tengamos acceso a los datos que se han recopilado por medio de cookies y tecnologías similares.
Las cookies y las tecnologías similares que usamos cuentan con diversas funciones:
– Pueden ser (técnicamente) necesarias para el aprovisionamiento de nuestros Servicios.
– Nos ayudan a mejorar técnicamente nuestros Servicios (p. ej., supervisando los mensajes de error y tiempos de carga).
– Nos ayudan a mejorar tu experiencia de usuario (p. ej., guardando el tamaño de fuente y los datos escritos en los formularios web).
– Nos permiten mostrarte anuncios más pertinentes (eBay, 2020).
Observamos pues que se advierte expresamente al usuario del sitio web de la existencia de la finalidad específicamente publicitaria del uso de las cookies, ya sean propias o de terceros. Se ofrece también la posibilidad de desactivar la misma por medio de una conducta activa de aquel, de manera que se le devuelve el control referido al tratamiento que se haga de la huella que va dejando en su navegación por internet1.
De lo expuesto hasta el momento, se deduce inmediatamente la importancia que adquiere este tipo de herramienta en el contexto de la publicidad y el marketing digital, constituyendo la información y los datos conseguidos y almacenados mediante este tipo de dispositivos un elemento de incalculable valor para las empresas en el desarrollo de su política comercial y publicitaria. Sin embargo, lo anterior no debe ocultar el riesgo que dicha práctica entraña en todo lo referido a la privacidad e intimidad de los usuarios de servicios de la sociedad de la información, por cuanto resulta obvio que la elaboración de estos perfiles predictivos, sobre la base de la observación de determinados patrones de conducta, puede incidir de manera directa en la esfera íntima y personal de aquellos.
De ahí que el uso de cookies plantee evidentes problemas de coordinación con toda la normativa referida a la protección de datos de carácter personal, debiendo buscarse un punto de equilibrio que permita el desarrollo y la consolidación de un mercado digital al que es difícil renunciar en la actualidad, pero que garantice, a su vez, el debido respeto a los derechos individuales de las personas que hacen uso de los servicios de la sociedad de la información2.
Observemos, a continuación, cuál es el marco legal básico en el que se desenvuelve dicho problema en el ordenamiento jurídico español y, por ende, en el europeo.
IV. MARCO LEGAL BÁSICO DE REFERENCIA
La norma básica que regula el uso de las cookies en España se halla contenida en el artículo 22.2 de la Ley 34/2002, de 11 de julio de 2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico (en adelante, LSSI), cuyo redactado actual deriva, a su vez, de la adaptación de nuestra legislación a la Directiva 2009/136/CE, de 25 de noviembre, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas3 y el Reglamento 2006/2004/CE sobre la cooperación en materia de protección de los consumidores4.
Dicho precepto establece lo siguiente:
2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario (Ley 34/2002, 2002, art. 22).
Resulta importante reseñar que la remisión que el precepto realiza a la Ley Orgánica 15/1999 debe entenderse hecha en la actualidad al Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantías de los derechos digitales (en adelante, LOPDGDD).
De la lectura del artículo 22.2 de la LSSI, se desprende con prontitud que el sistema se articula esencialmente sobre dos conceptos básicos: por un lado, el deber de información y, por otro, el consentimiento del usuario o destinatario del servicio. Por lo que se refiere al primero de ellos, se trata de una obligación legal de hacer cuyo cumplimiento es de tracto sucesivo, de manera que la información tiene que estar siempre disponible para el usuario, recogiendo en todo momento los posibles cambios o actualizaciones en la misma que se vayan realizando por el titular de la cookie (Navas Navarro, 2015, pp. 84-85). Sin embargo, ni la LSSI, ni las directivas comunitarias mencionadas que se ocupan de la cuestión, abordan los aspectos concernientes a la forma en que debe mostrarse dicha información, ni a su contenido propiamente dicho, limitándose el artículo 22.2 de la LSSI a señalar que el consentimiento debe prestarse después de haberse facilitado una “información clara y completa” (Ley 34/2002, 2002).
Con todo, cabe presumir que dicha información, además de ser fácilmente accesible y visible, lo que desde luego impide su disimulo en condiciones generales o declaraciones genéricas de privacidad, debe permitir de modo permanente a un usuario medio comprender, como mínimo, cuál es la función y la finalidad que se persigue con la instalación del archivo correspondiente, puesto que solo por medio de dicha comprensión podrá estarse en condiciones de prestar el antedicho consentimiento (Vidal Portabales, 2013, p. 1091). De tal forma, según palabras del GT29, en lo que se refiere a la publicidad comportamental, “debe informarse claramente al usuario de que la cookie permitirá al proveedor de publicidad recoger información sobre sus visitas a otros sitios web, los anuncios que estos muestran, los anuncios en los que ha clicado, el tiempo utilizado, etc.” (Dictamen 2/2010, 2010, p. 20).
Del tenor literal del artículo 22.2 de la LSSI, también se deduce que quedan exceptuadas del cumplimiento de las obligaciones recogidas en el precepto, las cookies utilizadas para alguna de las siguientes finalidades: (i) permitir únicamente la comunicación entre el equipo del usuario y la red, y (ii) prestar estrictamente un servicio expresamente solicitado por el usuario (Ley 34/2002, 2002). En atención a ello, el GT29, en su Dictamen 4/2012, ha interpretado que son las siguientes: (i) cookies de entrada del usuario; (ii) cookies de autenticación o identificación de usuario (únicamente de sesión); (iii) cookies de seguridad del usuario; (iv) cookies de sesión de reproductor multimedia; (v) cookies de sesión para equilibrar la carga; (vi) cookies de personalización de la interfaz de usuario; y (vii) determinadas cookies de complemento (plug-in) para intercambiar contenidos sociales (2012).
Sensu contrario, el citado documento nos indica que no están exentos de la obtención de consentimiento los siguientes supuestos: (i) cookies de complemento (plug-in) de contenidos sociales para el seguimiento, habida cuenta que no pueden considerarse estrictamente necesarias para prestar una funcionalidad solicitada explícitamente por el usuario; (ii) cookies utilizadas en la publicidad comportamental; y (iii) cookies para análisis propio, que son instrumentos de medición estadística de audiencia de los sitios web (Dictamen 2/2010, 2010). Con respecto a este último caso, el GT29 considera que no es probable que supongan un riesgo para la privacidad, en la medida en que se limiten estrictamente a fines estadísticos propios y que sean utilizadas por sitios web que ya ofrecen información clara sobre estas cookies conforme a su política de privacidad, así como garantías adecuadas de privacidad.
En la aplicación e interpretación de este marco legal básico de referencia, ha jugado un papel esencial en nuestro país la Agencia Española de Protección de Datos (en adelante, AEPD), la cual ha venido ofreciendo las pautas y criterios conforme a los que debe ser vigilado el adecuado cumplimiento de las obligaciones y los deberes impuestos a los prestadores de servicios de la sociedad de la información a propósito del respeto de la privacidad de los datos personales. En relación a este último aspecto, constituye un documento de indudable utilidad la Guía sobre el uso de las cookies (en adelante, la Guía), publicada en julio de 2020 por la AEPD, por cuanto nos servirá de punto de partida para el análisis de los mecanismos legales de cautela y prevención en lo referido a la función publicitaria de las cookies.
V. MECANISMO DE CAUTELA Y PREVENCIÓN
En este apartado, vamos a fijar nuestra atención en las obligaciones que se derivan del artículo 22.2 de la LSSI, así como en la identificación de las personas en las que deben recaer esos deberes, puesto que ambas cuestiones se erigen en los mecanismos básicos de cautela y prevención que el ordenamiento jurídico prevé para tratar de conciliar y hacer compatibles el uso de las cookies, y de alguna de sus finalidades, con el necesario respeto a la privacidad de determinados datos personales de los usuarios de un servicio de la sociedad de la información.
A. Obligaciones
Ya hemos visto anteriormente que las obligaciones legales impuestas por la normativa de referencia son esencialmente dos: por un lado, la obligación de transparencia o deber de información y, por otro, la de obtención del consentimiento del usuario o destinatario del servicio en cuestión. Veamos cada una de ellas por separado.
1. Deber de información y de transparencia
El artículo 22.2 de la LSSI dispone que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos, y, muy particularmente, sobre las finalidades que se persiguen por medio del tratamiento de los mismos. Por consiguiente, la información sobre las cookies recabada en el instante de solicitar el consentimiento debe ser suficientemente completa y transparente, con el objeto de que el usuario pueda entender fácilmente las finalidades y el uso que se dará a los datos personales almacenados o susceptibles de recuperación en un momento posterior.
A tales efectos, la Guía de referencia nos indica la información que debe incluirse en la política de cookies puesta a disposición de los usuarios de un determinado servicio, de conformidad esencialmente con lo dispuesto en el artículo 13 del RGPD, a saber (Agencia Española de Protección de Datos [AEPD], 2020, pp. 15-17):
a) Definición y función genérica de las cookies5.
b) Información sobre el tipo de cookies que se utilizan y su finalidad, aclarando que si no fuera posible para el editor ofrecer una explicación suficiente sobre la finalidad de las cookies utilizadas por terceros, o de la forma de eliminarlas, se puede facilitar esta información incluyendo un enlace a la página web de ese tercero.
c) Identificación de quién utiliza las cookies, es decir, si los datos recabados serán tratados solo por el prestador de ese servicio o también por terceros a los que dé acceso aquel. Se aclara, en este sentido, que no será preciso que la información concreta sobre esos terceros aparezca directamente visible en la política de cookies, siendo suficiente con la utilización de mecanismos como botones que desplieguen esa información o textos emergentes que aparezcan cuando se pasa el puntero del ratón por encima.
d) Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies, enunciadas por medio de las funcionalidades facilitadas por el prestador del servicio o a través de las plataformas comunes que pudieran existir para esta finalidad.
e) “Si el sistema de gestión o configuración de las cookies del editor no permite evitar la utilización de las cookies de terceros una vez aceptadas por el usuario, se facilitará información sobre las herramientas proporcionadas por el navegador y los terceros y se deberá advertir que, si el usuario acepta cookies de terceros y posteriormente desea eliminarlas, deberá hacerlo desde su propio navegador o el sistema habilitado por los terceros para ello” (p. 16).
f) En su caso, información sobre las eventuales transferencias de datos a terceros países realizadas por el prestador del servicio, especificando que, respecto de las transferencias que, en su caso, realicen terceros, será válida la remisión a la información que faciliten estos.
g) “Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar, será necesario que se informe sobre la lógica utilizada, así como la importancia y las consecuencias previstas de dicho tratamiento para el usuario en los términos establecidos en el artículo 13.2 f) del RGPD6” (p. 17).
h) Periodo de conservación de los datos para los diferentes fines de tratamiento. A este respecto, conviene precisar que el Tribunal de Justicia de la Unión Europea, en su sentencia de 1 de octubre de 2019, en el asunto C-673/17, ha indicado que la información que el proveedor de servicios debe facilitar al usuario de un sitio de internet incluye el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas.
i) Finalmente, por lo que se refiere al resto de información exigida por el artículo 13 del RGPD, que no concierna específicamente a las cookies, podrá remitirse a la política general de privacidad.
Por su parte, este deber de información se complementa, a su vez, con el cumplimiento de una serie de requisitos de transparencia, que tienen como objetivo último una adecuada y accesible comprensión por parte del usuario del sentido y significado del almacenamiento de esos datos. En particular, merecen ser destacados los siguientes (AEPD, 2020, pp. 17-18):
a) La información o la comunicación debe ser concisa, transparente e inteligible, teniendo en cuenta, además, el tipo de usuario medio al que se dirige la página web, adecuando el lenguaje y el contenido de los mensajes a su nivel técnico.
b) “Se ha de utilizar un lenguaje claro y sencillo, evitando en todo momento el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje” (p. 18)7.
c) La información ha de ser de fácil acceso, de manera que el usuario no debe buscarla, sino que debe resultar evidente para él dónde y cómo puede acceder a ella. En este sentido, internet ya no es algo nuevo o desconocido para los usuarios, y los prestadores de servicios conocen perfectamente los métodos que pueden utilizar para captar su atención, de modo que esa experiencia y conocimiento debería ser aprovechada en este punto.
Por lo demás, resulta conveniente que esa información siga siendo fácilmente accesible una vez obtenido el consentimiento para el uso de las cookies, permitiendo en todo momento al usuario gestionar su voluntad con respecto a las mismas. A este respecto, la Guía considera que se cumple dicho requisito cuando el sistema de gestión de las cookies (panel de configuración, plataformas de gestión del consentimiento, etc.) esté integrado en la propia política de cookies o cuando se incluya en la misma un enlace que lleve directamente al sistema de gestión (AEPD, 2020, p. 19).
De particular importancia en lo referido a este deber de transparencia es el sistema de información por capas, recomendado de manera especial por el GT29, habida cuenta que permite al usuario ir a aquellos aspectos de la declaración o aviso que sean de mayor interés para él, con independencia, claro está, que la totalidad de la información permanezca disponible en un único documento completo al que se puede acceder fácilmente en todo momento. Con ello, se evita la natural fatiga informativa que puede causar al usuario la utilización de un sistema de capa de información única.
De seguirse este sistema de información por capas, la Guía nos indica, en la primera de ellas, que puede identificarse bajo un término de uso común (como, por ejemplo, cookies), debería incluirse la siguiente información (AEPD, 2020, pp. 19-20):
a) Identificación del editor responsable del sitio web.
b) Identificación de las finalidades de las cookies que van a ser utilizadas.
c) Información sobre si las cookies son propias o también de terceros asociados a ese editor, sin que sea necesario identificar a los terceros en esta primera capa.
d) Información genérica sobre el tipo de datos que se van a recopilar y utilizar en caso de que se elaboren perfiles de los usuarios, como sería el caso de la publicidad comportamental.
e) Modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies, con advertencia, en su caso, de la existencia de acciones que puedan determinar una aceptación tácita o presunta de las mismas;
f) Enlace claramente visible a una segunda capa de información en la que se incluye una información más detallada utilizando, por ejemplo, expresiones tales como ‘política de cookies, cookies, más información, pulsa aquí’, etc.
Esta información debe ser facilitada antes del uso de las cookies, incluida, en su caso, su instalación, de forma que, en el momento en que se accede a esa primera capa informativa, debe darse ya al usuario la oportunidad de aceptar o rechazar su uso o instalación.
Por su parte, en la segunda capa, que debe encontrarse disponible de forma permanente en el sitio web o en la aplicación, se deberá incluir ya todo el resto de información a la que hemos hecho anteriormente referencia, al detallar el contenido informativo derivado del artículo 13 del RGPD.
Al margen de esta posibilidad de informar por capas, la Guía nos ofrece también otras posibles formas de facilitar la información sobre cookies, de entre las que destacan las siguientes (AEPD, 2020, p. 22):
a) El suministro de la información a través de un aviso suficientemente visible.
b) Al darse de alta un servicio, o antes de descargar una aplicación, puede suministrarse esta información junto con la política general de privacidad, o con los términos y condiciones de uso del servicio, siempre que se ofrezca un enlace o acceso directo a la sección referida a cookies dentro del propio documento.
c) En estos últimos casos, también será posible suministrar la información y obtener el consentimiento off-line, siempre y cuando quede constancia de que los usuarios han sido informados individualmente y han consentido en ello.
2. Obtención del consentimiento
El consentimiento del usuario constituye el eje central sobre el que descansa la normativa a la que nos venimos refiriendo y el mecanismo de cautela más importante para aquel. Sin el mismo, no es posible que el prestador del servicio utilice las cookies para según qué tipo de finalidades, de modo que, siempre y en todo caso, precisará obtener ese consentimiento, que deberá ser otorgado de forma libre y, según hemos ido viendo, informado transparentemente.
Por lo que se refiere a quién debe prestar el consentimiento, la dicción literal del artículo 22.2 resulta clara al señalar a los destinatarios de los servicios de la sociedad de la información. En la aclaración de este concepto, conviene precisar que el apartado d) del Anexo de la citada Ley 34/2002 entiende como tales a “la persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información” (2002), es decir, el usuario.
Por su parte, el artículo 6 de la LOPDGDD nos indica que se entiende por consentimiento del afectado “toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen” (Ley Orgánica 3/2018, 2018, art. 6.1), definición que fue tomada del artículo 4.11 del RGPD.
Respecto del consentimiento libre, lo relevante es que nos hallemos ante una elección real por parte del interesado. El GT29 ha manifestado su preocupación por el hecho de que esa libertad de elección pueda verse relativizada en determinadas ocasiones, debido al desequilibrio de poder entre el responsable del tratamiento y el interesado. Precisamente por ello, apuesta por evitar la utilización de solicitudes de consentimiento por defecto, yendo incluso más allá, al entender que el consentimiento no podrá considerarse como libremente otorgado cuando se solicita de tal forma que, si el interesado no lo otorga, podría tener un efecto perjudicial para él (por ejemplo, denegación de un servicio a un cliente por falta de consentimiento) (Dictamen 2/2010, 2010).
En lo que atañe al consentimiento específico, lo que se pretende indicar es que se requiere una manifestación específica para cada finalidad, de manera que cuando se solicite el consentimiento para varias finalidades distintas, será necesario obtener un consentimiento por separado de cada una de ellas. El GT29 pone como ejemplo el de una empresa que solicita el consentimiento a sus clientes para utilizar sus datos para el envío de publicidad por medios electrónicos y, al mismo tiempo, para ceder esos datos a empresas de su grupo. En tales supuestos, los consentimientos deberán obtenerse por separado, por medio de casillas de verificación u otros mecanismos.
Por lo que se refiere al consentimiento informado, dicho requisito implica que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades que persigue. Ello significa, según el GT29, que la información proporcionada al usuario deberá constar de un lenguaje claro y sencillo, y separada de otros puntos del contrato (por ejemplo, en una cláusula específica), recomendando a los responsables del tratamiento que se revise cuidadosamente el lenguaje utilizado para solicitar el consentimiento, evitando fórmulas excesivamente legalistas de difícil comprensión, sobre todo a la hora de indicar el derecho del interesado a retirar su consentimiento.
Este consentimiento libre, específico e informado puede ser obtenido por medio de fórmulas expresas, como sería el caso de hacer clic en un apartado o botón que indique ‘acepto’ o ‘consiento’, o similares, pero también deducirse de una acción inequívoca realizada por el usuario. Ahora bien, lo que no es admisible es pretender derivar el consentimiento de la mera inactividad del usuario. Un claro ejemplo de ello sería conti- nuar navegando en el sitio web de referencia, que bajo ningún concepto puede ser considerado como tal.
En particular, la Guía (AEPD, 2020, pp. 25-26) nos habla de lo siguientes mecanismos de obtención del consentimiento:
a) Al solicitar el alta en un servicio. Para ello, será necesario que el consentimiento se separe de los términos y condiciones de uso de la página web, de su política de privacidad o de las condiciones generales del servicio.
b) Durante el proceso de configuración del funcionamiento de la página web o de la aplicación, quedando el consentimiento integrado en la elección del usuario y recordando los ajustes elegidos por este.
c) A través de plataformas de gestión del consentimiento, siempre que cumplan los siguientes requisitos y garantías: (i) cumplir los requisitos de transparencia frente a los usuarios; (ii) obtener un consentimiento válido de los usuarios; y (iii) respetar ulteriormente las opciones de consentimiento de los usuarios y permitir su gestión, incluida la revocación.
d) Antes del momento en que se vaya a descargar un servicio o aplicación. En este caso, si las cookies no son necesarias para el funcionamiento de ese servicio o aplicación, se debe permitir al usuario dar su consentimiento antes de esa descarga.
e) Resulta relevante destacar, en este último sentido, que si el usuario desea ejercer un derecho que le está legalmente reconocido (por ejemplo, darse de baja de un servicio), y esa aplicación o servicio es el único medio del que dispone para lograr su propósito, no puede condicionarse el acceso a los mismos a la aceptación de las cookies no necesarias.
f) A través del formato de información por capas. En estos supuestos, en la primera capa, que contiene la información esencial, debe incluirse la petición del consentimiento para la utilización de las cookies, debiendo ser informado, de modo permanente, en la segunda capa sobre ese uso y el modo de configurarlas o rechazarlas.
g) Por medio de la configuración del navegador, por cuanto dicha posibilidad se halla expresamente contemplada en el artículo 22.2 de la LSSI. Para que ello sea válido, la Guía estima necesario que esa configuración permita a los usuarios manifestarse por separado para cada uno de los fines previstos por las cookies.
Resulta conveniente advertir que, una vez obtenido el consentimiento de modo válido, no será necesario recabarlo de nuevo cada vez que el usuario visite la página web desde la que se presta el servicio, salvo naturalmente que se cambien los fines de uso de las cookies, en cuyo caso será preciso actualizar la política de cookies y posibilitar la toma de una nueva decisión al respecto.
En línea con lo anterior, la Guía recomienda como buena práctica que la validez del consentimiento prestado por un usuario no tenga una validez superior a veinticuatro meses, de manera que deba ser actualizado a intervalos periódicos, dejando siempre a salvo la posibilidad de una retirada del mismo en cualquier momento (AEPD, 2020). La revocación debe configurarse de modo fácil, habilitando para ello un acceso simple y sencillo al sistema de gestión o configuración de las cookies.
Una cuestión particularmente interesante en esta materia es la referida a los denominados tracking walls o muros de seguimiento, que son sistemas que limitan el acceso a un sitio web en tanto el usuario no acepte previamente la instalación de cookies de rastreo por terceros. Como se comprenderá, nos hallamos ante una cuestión particularmente importante para los usuarios, por cuanto este tipo de herramientas dificulta o entorpece la libre navegación en la red, condicionándola a la aceptación previa de una opción de privacidad que tolere esta forma de intrusión.
A este respecto, el Supervisor Europeo de Protección de Datos (en adelante, SEPD) ha venido considerando que el acceso a las páginas web no debe condicionarse a que los individuos se vean forzados a consentir que sigan el rastro que deja su huella en la red, lo que equivale, en realidad, a apostar decisivamente por la existencia de un consentimiento libre y genuino, que no puede supeditarse a la previa aceptación de determinadas condiciones. Precisamente por ello, y principalmente sobre la base de que el tratamiento que se solicita, que no es otro que el de poder rastrear el comportamiento del usuario, no es necesario para la prestación del servicio que desea el usuario (navegar por el sitio web en cuestión), el SEPD recomienda la prohibición de estos muros de seguimiento (Opinión 6/2017, 2017, pp. 21-22)8.
B. Responsabilidad de las partes en la utilización de cookies
Ya hemos indicado anteriormente que la LSSI no define quién es el responsable de cumplir con la obligación de facilitar información sobre las cookies y obtener el consentimiento para su uso. Sin embargo, parece razonable entender que, con carácter general, los sujetos obligados son los prestadores de servicios de la sociedad de la información, entendiendo como tal a toda persona física o jurídica que proporciona servicios prestados normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario, así como aquellos servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios (Ley 34/2002, 2002, Anexo).
A tales efectos, la Guía de referencia distingue dos situaciones en función de la finalidad para la que se tratan los datos que se obtienen a través de la utilización de las cookies. Si se trata de fines exceptuados de las obligaciones de informar y de obtener el consentimiento, en realidad, no será preciso que el prestador del servicio informe de su utilización, ni que obtenga el consentimiento del que hemos hablado. Tan solo para el caso de que se empleen cookies de terceros, deberá cuidar de establecer contractualmente con estos que los datos no serán tratados con ninguna otra finalidad que no sea la de prestar el servicio al usuario.
Mayores dificultades nos planteará el supuesto en el que el prestador del servicio o los terceros utilizan las cookies para fines que no están exceptuados de ese deber de informar y de recabar el consentimiento. Si se trata de cookies propias, parece evidente que los deberes recaen en el prestador del servicio, que deberá informar y obtener el consentimiento siguiendo las pautas que hemos venido explicando hasta este momento.
En el supuesto en que se utilicen cookies de terceros, resulta evidente que esa responsabilidad alcanza ya no solo al prestador del servicio, sino que se extiende también a las otras entidades intervinientes en la gestión de las cookies. En este sentido, si se utiliza una plataforma de gestión del consentimiento, en la que los terceros puedan cumplir esos deberes, podemos entender que serán estos quienes respondan individual y directamente de su cumplimiento.
En estos supuestos, el prestador del servicio tan solo deberá asegurarse de que los interesados reciben la información necesaria y que están habilitados los mecanismos que permitan su consentimiento. Sin embargo, cuando no se usa una plataforma de gestión del consentimiento, se le hace más difícil al tercero cumplir con esos requisitos, por cuanto el usuario tiende a manifestar sus inquietudes al prestador del servicio, que es a quien más fácilmente puede identificar.
En este contexto específico de la responsabilidad, conviene recordar la distinción recogida en la normativa general sobre protección de datos entre responsable del tratamiento y encargado del mismo (artículos 28 y siguientes del RGPD). A este respecto, parece razonable entender que los titulares de las cookies, en tanto que determinan los fines y los medios del tratamiento, deben ser considerados como responsables de los datos y de la información personal que recogen, mientras que aquellos otros sujetos que se limitan a seguir las instrucciones del responsable tendrán tan solo la condición de encargados del tratamiento.
Desde este punto de vista, cada uno de esos responsables deberá responder del tratamiento concreto que realice, siendo perfectamente posible, de conformidad con lo dispuesto en el RGPD, una situación de corresponsabilidad, que se producirá en aquellas situaciones en las que varios sujetos determinen conjuntamente las finalidades y los medios del tratamiento (Reglamento 2016/679, 2016). En estos supuestos, el nivel de responsabilidad de cada uno de ellos deberá ser determinado tomando en cuenta la implicación que se tenga en ese determinado tratamiento.
En este último sentido, resulta de interés recordar que el artículo 37 de la LSSI dispone expresamente que
[…] cuando las infracciones previstas en el artículo 38.3 i) y 38.4 g) se deban a la instalación de dispositivos de almacenamiento y recuperación de la información como consecuencia de la cesión por parte del prestador del servicio de la sociedad de la información de espacios propios para mostrar publicidad, será responsable de la infracción, además del prestador del servicio de la sociedad de la información, la red publicitaria o agente que gestione directamente con aquel la colocación de anuncios en dichos espacios en caso de no haber adoptado medidas para exigirle el cumplimiento de los deberes de información y la obtención del consentimiento del usuario (Ley 34/2002, 2002).
Por lo demás, en lo que atañe a las sanciones que pueden ser impuestas por el incumplimiento de las obligaciones referenciadas, cabe recordar que el artículo 38.4.g) de la LSSI considera como infracción leve el “utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2” (Ley 34/2002, 2002), siendo la multa prevista para estos casos de hasta 30 000 euros.
En aplicación precisamente de esta normativa, son ya bastantes las sanciones que ha impuesto la AEPD en esta materia. Sirva a título de ejemplo, la última de ellas a la que hemos tenido acceso, en la que se constata que la página web denunciada utiliza un sistema de información por capas, informando en la primera de ellas de la utilización de cookies propias y de terceros, para mejorar los servicios y para mostrar publicidad relacionada con las preferencias de navegación, indicándose que “si continúa navegando, consideran que se acepta su uso”, desplegando la misma información en la segunda capa y sin ofrecer la posibilidad al usuario de rechazar todas las cookies (Resolución PS/00208/2020, 2020).
V. CONCLUSIONES
Sin discutir en absoluto el necesario desarrollo y consolidación del mercado de la publicidad online, elemento imprescindible para garantizar un acceso libre e igual de todos los ciudadanos a los contenidos digitales ofrecidos en internet, las autoridades deben velar por un cumplimiento adecuado de las disposiciones que aseguran un respeto de la privacidad y de la intimidad personal de los usuarios.
En este contexto, resulta evidente que, más allá de aquellas cookies cuya utilización viene amparada por motivos técnicos o de interés público o general, que hallan su acogida en alguna de las excepciones previstas expresamente por la legislación, el uso de este tipo de dispositivos con el objeto de conocer los gustos y las preferencias de los usuarios con fines eminentemente publicitarios (cookies de rastreo o de seguimiento) plantea indudables problemas de encaje o acomodación con toda la normativa sobre protección de datos.
Sin poner en tela de juicio las voces que reclaman un cuidado equilibrio entre esta última necesidad y la de asegurar la pervivencia de determinados modelos de servicio digital, que solo pueden sostenerse por medio de una publicidad personalizada y atractiva para los anunciantes, lo cierto es que la situación actual, caracterizada por una presencia constante de molestos avisos en los sitios web, no garantiza, a nuestro entender, la prestación de un consentimiento suficientemente informado y consciente por parte de los usuarios, que acostumbran a recurrir a la fórmula del ‘sí a todo’ con tal de poder seguir navegando libremente en la red.
En este sentido, resulta de interés destacar, de cara al futuro, la existencia de una Propuesta de Reglamento del Parlamento europeo sobre la privacidad y las comunicaciones electrónicas (e-Privacy)9, que parece apostar por una solución ecléctica, en la que se visualiza, y así se confirma de hecho en algunos de sus considerandos, un claro deseo de retornar, por así decir, al usuario el control o la llave inicial sobre el acceso a sus datos personales, por medio de las opciones de configuración que obligatoriamente le serán facilitadas e informadas en todo programa informático de navegación (2017). De tal forma, el usuario podrá configurar ab initio, después de recibir la información correspondiente por parte del proveedor o fabricante del programa informático, cuál de entre las distintas alternativas se ajusta mejor a sus deseos, sin que nada impida que opte por un sistema parecido al que hoy pretenden preservar las asociaciones más representativas del mercado de la publicidad digital.
De hecho, lo razonable es que así se haga si el usuario comprueba los problemas de navegación que pueden surgir cuando se adopta una opción especialmente preservadora de la privacidad personal. Naturalmente, en esta fase o estadio debería también apostarse por normas que impidan el establecimiento de muros de seguimiento que no se hallen debidamente justificados, siendo desde luego completamente inadmisibles aquellos que afecten a sitios web financiados por las autoridades públicas, los relacionados con la salud pública y cualquier otra materia de claro interés general, respecto de los cuales debe garantizarse siempre un libre e igual acceso, con independencia de cuál sea la opción de privacidad escogida por el usuario en su navegador.
La previsión específica de una configuración por defecto, obligatoria para los fabricantes, en la que se establezca una gestión de las cookies y de los dispositivos de archivo y almacenamiento lo más restrictiva posible en este campo, nos parece una solución un tanto excesiva, que seguramente, al margen de poner en peligro la existencia misma del mercado publicitario online, no se corresponde con la verdadera voluntad de un público suficientemente informado, al menos en lo referido a la necesidad de pago por determinados servicios que hasta ahora se han venido disfrutando de manera gratuita.
De ahí que, en líneas generales, la solución propuesta por el legislador comunitario nos parezca ciertamente razonable, por lo menos en lo referido a realzar las características del consentimiento ya consagradas en el RGPD, de entre las que destaca la de provenir de una clara acción afirmativa del usuario, y no de la simple inacción o de un comportamiento tácito; y en la vocación de asegurar que sea el usuario quien mantenga el control sobre el acceso y el almacenamiento de sus datos personales.
En este último sentido, resulta de interés destacar la sentencia del Tribunal de Justicia de la Unión Europea, de 1 de octubre de 2019, en el asunto C-673/17, en la que se indica expresamente que el consentimiento al que nos hemos venido refiriendo no se presta de manera válida cuando el almacenamiento de información, o el acceso a la información ya almacenada en el equipo terminal del usuario de un sitio de internet a través de cookies, se autoriza mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento.
Parece claro, por consiguiente, que la mera inacción, consistente en dejar esa casilla marcada por defecto, sin ninguna otra acción posterior, no puede ser considerada como consentimiento a la luz de la normativa europea sobre protección de datos, lo que constituye, en todo caso, una cautela absolutamente necesaria para salvaguardar de modo eficaz la privacidad de los usuarios.
REFERENCIAS
Agencia Española de Protección de Datos [AEPD] (2020). Guía sobre el uso de las cookies. https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf
eBay (22 de julio de 2020). Cookies, balizas web y tecnología similar (“Aviso de cookies”). https://www.ebay.es/help/policies/member-behaviour-policies/ebay-cookie-notice?id=4267
(s.f.). Publicidad y preferencias relacionadas. https://www.ebay.es/gdpr
Navas Navarro, S. (2015). La personalidad virtual del usuario de internet. Tratamiento de la información personal recogida mediante cookies y tecnología análoga. Tirant lo Blanch.
Vidal Portabales, J. (2013). Sobre las comunicaciones comerciales en la LSSI y CE: modificaciones introducidas por el RD 13/2012, de 30 de marzo, en materia de cookies. En A. Tobío, A. Fernández & A. Tato (eds.), Estudios de Derecho Mercantil: libro Homenaje al Profesor José Antonio Gómez Segade (pp. 1079-1096). Marcial Pons.
LEGISLACIÓN, JURISPRUDENCIA Y OTROS DOCUMENTOS LEGALES
Agencia Española de Protección de Datos [AEPD], 26 de octubre de 2020, Resolución de Procedimiento Sancionador (PS/00208/2020) (Esp.).
Carta de los Derechos Fundamentales de la Unión Europea, 18 de diciembre de 2000, 2000 O.J. (C364) 1.
Caso C-673/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände -Verbraucherzentrale Bundesverband e.V. c. Planet49 GmbH, ECLI:EU:C:2019:801 (oct. 1, 2019).
Dictamen 2/2010 sobre publicidad comportamental en línea del Grupo de Trabajo de Protección de Datos del Artículo 29 (GT29) (GT 171), U.N. Doc. 00909/10/ES (22 de junio de 2010) (UE). https://docplayer.es/5355355-Dictamen-2-2010-sobre-publicidad-comportamental-en-linea.html
Dictamen 4/2012 sobre la exención del requisito de consentimiento de cookies del Grupo de Trabajo de Protección de Datos del Artículo 29 (GT29) (WP 194), U.N. Doc. 00879/12/ES (WP 194) (7 de junio de 2012) (UE). https://www.apda.ad/sites/default/files/2018-10/wp194_es.pdf
Directiva 2002/22/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas (Directiva servicio universal), 2002 O.J. (L 108) 51.
Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), 2002 O.J. (L 201) 37.
Directiva 2009/136/CE del Parlamento Europeo y del Consejo de 25 de noviembre de 2009 por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) 2006/2004 sobre la cooperación en materia de protección de los consumidores, 2009 O.J. (L 337) 11.
Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, Supervisor Europeo de Protección de Datos [SEPD] (4 de mayo de 2020). https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_es.pdf
Ley 34/2002, Ley de servicios de la sociedad de la información y de comercio electrónico (B.O.E. 2002, 34) (Esp.).
Ley Orgánica 15/1999, Ley de Protección de Datos de Carácter Personal (B.O.E. 1999, 15) (Esp.).
Ley Orgánica 3/2018, Ley de Protección de Datos Personales y garantía de los derechos digitales [LOPDGDD] (B.O.E. 2018, 3) (Esp.).
Opinion 6/2017, EDPS Opinion on the Proposal for a Regulation on Privacy and Electronic Communications (ePrivacy Regulation) (2017). Supervisor Europeo de Protección de Datos [SEPD] https://edps.europa.eu/sites/edp/files/publication/17-04-24_eprivacy_en.pdf
Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas), COM (2017) 10 final (10 ene., 2017).
Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), 2016 O.J. (L 119), 1 (UE).
Versión consolidada del Tratado de la Unión Europea y del Tratado de Funcionamiento de la Unión Europea (TFUE), 26 de octubre de 2012, 2012 O.J. (C326) 1.
* Abogado. Doctor en Derecho por la Universitat de les Illes Balears. Docente de Derecho Mercantil de la Universitat de les Illes Balears (Islas Baleares, España). Investigador de Derecho y Nuevas Tecnologías (CEDIB). Contacto: j.flaquer@uib.es
Nota del Editor: El presente artículo fue recibido por el Consejo Ejecutivo de THĒMIS-Revista de Derecho el 30 de noviembre de 2020, y aceptado por el mismo el 24 de marzo de 2021.
1 En efecto, en la página web del portal citado con anterioridad puede leerse también lo siguiente:
Cuando utilizas eBay controlas la información que compartes y puedes actualizar tus ajustes en cualquier momento. Esta política describe cómo utilizamos las cookies, colaboramos con los anunciantes y recopilamos información de tus diferentes dispositivos para crear una experiencia consistente y personalizada para ti. Para optimizar tu experiencia, nos gustaría configurar tus ajustes para que coincidan con lo que ves a continuación. Si quieres editar tus preferencias, puedes hacerlo ahora o en cualquier momento en el futuro (eBay, s.f.).
2 No en vano el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (2000) y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) (2012) establecen expresamente que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
3 Por lo que se refiere a esta específica Directiva, que es la verdaderamente relevante en la regulación de las cookies, se procedió a la modificación, entre otros, de su artículo 5.3, cuyo redactado actual es el siguiente:
Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario (Directiva 2002/58, 2002).
4 Dicha adaptación tuvo lugar por medio del Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas, en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista.
5 La Guía nos ofrece el siguiente ejemplo:
¿Qué son las cookies? Este sitio web utiliza cookies y/o tecnologías similares que almacenan y recuperan información cuando navegas. En general, estas tecnologías pueden servir para finalidades muy diversas, como, por ejemplo, reconocerte como usuario, obtener información sobre tus hábitos de navegación, o personalizar la forma en que se muestra el contenido. Los usos concretos que hacemos de estas tecnologías se describen a continuación (Agencia Española de Protección de Datos [AEPD], 2020, p. 15).
6 No obstante, en las directrices del GT29 sobre decisiones individuales automatizadas y elaboración de perfiles, adoptadas el 3 de octubre de 2017, y revisadas por última vez y adoptadas el 6 de febrero de 2018, se reconoce que, por ejemplo, la publicidad comportamental no entra generalmente en el ámbito del artículo 22.2 del RGPD, ya que “en muchos casos típicos, la decisión de presentar publicidad dirigida basada en la elaboración de perfiles no tendrá un efecto significativamente similar en las personas” (AEPD, 2020, p. 17).
7 La Guía nos ofrece algunas frases que no deberían ser válidas como, por ejemplo, “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted”, “para mejorar su navegación”, o “podemos utilizar sus datos personales para ofrecer servicios personalizados” (AEPD, 2020, p. 18).
8 En sus posteriores Directrices 5/2020, el SEPD parece admitir esta práctica, siempre que se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies.
9 Propuesta de Reglamento del Parlamento europeo y del Consejo, de 10 de enero de 2017, sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE.