Nuevo entretenimiento en Internet: “Aceptar cookies”

Parece que las cookies están de moda, muchos ya estamos hartos de que en las páginas web que visitamos aparezca al inicio un anuncio que nos informa del uso de cookies y nos pregunta si deseamos aceptar su instalación en nuestro navegador. De forma automática aceptamos, la mayoría de las veces no nos preocupamos de saber qué es una cookie ni para que sirven esos ficheros llamados cookies.

Aceptamos, lo que deseamos es navegar en esa página. Eso sí, luego tendremos que aguantar ese repetitivo anuncio personalizado de un producto que buscamos hace un mes, fruto de esa cookie publicitaria que nos da las gracias de aceptarla sin leer.

Las cookies de moda

Ya hemos hablando de lo que son las cookies, sus clases, para qué sirven…, en nuestro artículo titulado “Cookies, No Sin Mi Consentimiento”, pero ¿Qué ha sucedido para que se pongan otra vez tan de moda?

La entrada en vigor del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), hace referencia a las cookies en su considerando 30 cuando dice:

“Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.”

No se mencionan más en todo el reglamento, pero en este considerando se deja claro que el legislador europeo considera que las cookies identifican a la persona física.

Persona física identificable

Dato personal es toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como, por ejemplo:

• un nombre,
• un número de identificación,
• datos de localización,
• un identificador en línea o
• uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Cookies y el consentimiento

Esto quiere decir que para la instalación de las cookies, aunque ya era necesario el consentimiento según lo previsto en el artículo 22- 2 de Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, éste tiene que ser prestado en la forma que establece en Reglamento general de protección de datos (RGPD).

Según su considerando 32 del RGPD:

“El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal”.

El art. 4- 11 del RGPD define el consentimiento como:

“toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”

Y éste debe ser otorgado de acuerdo a las condiciones que establece el art. 7 del RGPD.

¿Cómo se presta el consentimiento?

Con todo lo expuesto ¿cómo debe ser prestado el consentimiento que permita la instalación de cookies en nuestro navegador?

1. A mi parecer, ya no es suficiente con esos mensajes que advertían que si el internauta sigue navegando se entiende que acepta la instalación de cookies, el RGPD exige un consentimiento expreso, no tácito, poner, por lo tanto, un botón de aceptación es un medio válido.
2. El consentimiento debe ser recogido antes de que se instalen las cookies, salvo cuando se trate de cookies necesarias para permitir la comunicación entre el equipo del usuario y la red.
3. Para que el consentimiento sea informado, habrá que describir qué cookies se va a instalar, cuáles son los fines de esas cookies, quien es el responsable de tratar los datos que almacena y por cuánto tiempo van a estar instaladas las mismas.
4. Dado que normalmente las cookies tienen diferentes finalidades, hay que dar al visitante de la web la posibilidad de aceptar unas y otras no.
5. El titular de la web debe ser capaz de acreditar el consentimiento.
6. El visitante deberá poder retirar su consentimiento en cualquier momento.

Cuestiones que se plantean

• ¿Qué pasa si el dispositivo, sea un ordenador, smartphone o Tablet, es propiedad de un menor de edad?
  En principio, sólo sería válido el consentimiento si éste es mayor de 14 años (nueva LOPD) o si lo autorizó el titular de la patria potestad o tutela sobre el niño. La pregunta es ¿cómo saber que es un menor de edad el que navega?
• ¿Qué sucede si la información que recogen las cookies son visitas a páginas de contenido sexual, político, religioso o de salud?
  El art. 9 del RGPD exige un consentimiento explicito para tratar datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

  La nueva LOPD vas mas allá y establece que no basta el consentimiento para tratar datos cuya finalidad principal sea identificar ideología, afiliación sindical, religión, orientación sexual, creencia u origen racial o étnico.

Incógnitas

Son muchas las incógnitas, esperemos que éstas y otras cuestiones que plantean el uso de cookies vayan aclarándose por las autoridades de control. Atentos también estamos a la tramitación de un Reglamento europeo sobre Privacidad y comunicaciones electrónicas (Reglamento ePrivacy), que regulará en otras materias el asunto de las cookies, y que proponer el uso de qué cookies se aceptan y cuáles no, venga configurado de forma predeterminado por el navegador, ya veremos cómo queda.