Ya disponible mi libro sobre las leyes en los deportes electrónicos

blog

reflexiones e investigación jurídica

Las obligaciones legales de las cookies: el artículo 22.2 LSSI

Ejemplo de lo que podría ser una cookie de seguimiento vía JavaScript.

Fecha del post: 9 de marzo de 2016
 
Dudo que a estas alturas de 2016 quede alguien sin conocer qué son las cookies, para qué sirven o qué obligaciones legales implica el utilizarlas. Sobre todo porque es muy raro no entrar en una página web y no ver uno de esos engorrosos ‘displayers’ informando y pidiendo al consentimiento del usuario para poder instalarlas.
 
Sin embargo, para todos aquellos que aún no conozcan al detalle cuáles son las obligaciones legales que estas llevan aparejadas, qué deben hacer para cumplir con la LSSI o que no hayan entendido la importancia de aplicaciones como Piwik/Matomo para el uso “básico” de las cookies (las cuales, por cierto, detallaba en mi post: Matomo (Piwik), ¿una vía para evitar los avisos de cookies?), voy a hacer este post resumiendo un poco todo el tema de obligaciones legales de las cookies.
 

La Ley de Servicios de la Sociedad de la Información

El 1 de abril en 2012, y derivado del Real Decreto-ley 13/2012, entró en vigor en España una modificación de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico, más conocida por el acrónimo “LSSI”. En concreto, se modificaba el artículo 22.2 LSSI para que dispusiera el siguiente contenido:


2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios , a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Analicemoslo por partes.
 
1.- ¿Quiénes son los prestadores de servicios?
 
Según dispone la propia ley, la LSSI tan solo se aplica a todas aquellas personas (físicas o jurídicas) que presten servicios a título oneroso, a distancia, por vía electrónica y a petición individual. Es decir, servicios que constituyan una actividad económica directa (por ejemplo, un ecommerce) o indirecta (por ejemplo, ingresos por publicidad) para el administrador de una página web o servicio ejercido por internet y solicitado por el propio usuario (es decir, que no sea una emisión televisiva o radiofónica en las que se cualquiera puede ser receptor sin solicitarlo). Las personas que cumplan estos requisitos serán considerados como los prestadores de servicios de la sociedad de la información.
 
Puede parecer muy básico pero explicaré el porqué de este punto: si no entras dentro del ámbito de aplicación de la ley, no debes cumplir con sus obligaciones. O lo que es lo mismo, todos aquellos blogs personales sin publicidad o páginas web de información de una empresa o páginas, en la medida que no suponen una actividad económica para la persona (esto es, no obtiene ningún rendimiento económico directamente por el uso de la web), no deberán cumplir con las obligaciones del articulo 22.2 LSSI.
 
Una exclusión que, además, se produce por imperativo legal si el prestador de servicios de la sociedad de la información entra dentro de alguna de las categorías de sujetos excluidos del artículo 5 LSSI como son los notarios y registradores (en el ejercicio de sus respectivas funciones públicas) o los servicios prestados por abogados y procuradores en el ejercicio de sus funciones de representación y defensa en juicio.
 
2.-¿Qué son los “dispositivos de almacenamiento y recuperación de datos”?
 
La LSSI utiliza la expresión “dispositivos de almacenamiento y recuperación de datos” por motivos de neutralidad tecnológica. Según este principio, cuando el legislador regula una cuestión técnica lo debe hacer de la forma más genérica posible, sin dar preferencia a ninguna tecnología existente en concreto.
 
Una técnica legislativa muy lógica si tenemos en cuenta que la tecnología avanza muy rápidamente y que si se opta por una regulación concreta y a medida por una tecnología, cuando esta evolucione o se modifique en uno de sus elementos, nos encontraríamos ante una “brecha legal” con la que saltarse la ley. Algo que sucede en este caso dónde se habla de ‘cookies’ pero en realidad también incluyen multitud de técnicas o funciones que no encajan dentro de este sustantivo.
 
3.- ¿Qué uso de las cookies regula la ley?
 
Es importante destacar que la ley regula el uso de cookies “en” equipos terminales de los destinatarios. El hecho de que se use la preposición “en” (en el sentido de “dentro de”) es muy importante de cara a comprender la finalidad de la ley. Así, la LSSI regula dos cosas: 1) la instalación de cookies en un terminal de otro usuario y, 2) el poder usar estas cookies instaladas para que un tercero recoja información del usuario.
 
Para el que no lo sepa, las cookies son pequeños archivos informáticos que se instalan en el terminal del usuario para poderlo reconocer (cookies propias) o, entre otros usos, para que un tercero pueda saber qué anuncios mostrarte en esa página web (cookies de terceros). En este caso, la finalidad de la ley es controlar la privacidad de los usuarios y evitar el tracking de terceros por lo que se quiere regular el uso de cookies que lo hagan. De ahí a que se hable de instalar cookies EN el terminal, porque se quiere evitar que con ese archivo se vulnere la privacidad de los usuarios. Interpretar la norma de otra forma, en mi opinión, iría contra toda lógica.
 
Ahora bien, no todas las cookies que se instalen deberán cumplir con las obligaciones impuestas por el artículo 22.2 LSSI. El propio legislador prevé dos excepciones a esta obligación:


Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Por lo tanto, todas aquellas cookies que sirvan a una página web o a una aplicación para mostrar su contenido, permitir la transmisión de la información o sean necesarias para garantizar una óptima experiencia de uso al usuario, no deberían entrar dentro de estas obligaciones. El problema deriva, como no podría ser de otra forma, de valorar en cada caso concreto si una cookie debe ser considerada como técnica o no. Por ejemplo, una cookie técnica evidente es la que permite mantenerse “logeado” dentro de una página que disponga de espacios privados. Sin esta cookie el usuario debería hacer log-in cada vez que refrescara la página, por lo que se afectaría gravemente su experiencia al navegar y llevaría a afirmar que esa cookie de sesión es de tipo técnico. Otro ejemplo sería el de las cookies destinadas a amoldar el código CSS de la web al terminal que lo visita puesto que tales cookies tan solo buscan conocer el usuario de cara a mostrarle información gráficamente apropiada para el uso de la web.
 

Las dos obligaciones legales de la LSSI

Analizados todos los aspectos anteriores tan solo nos queda por ver cuáles son las obligaciones impuestas por el artículo 22.2 LSSI. Pues bien, son dos los aspectos que se deben cumplir para que un prestador de servicios de la sociedad de la información pueda instalar cookies en sus usuarios: informar al usuario y obtener su consentimiento para el uso.
 
Vamos a ver qué supone cada una de estas obligaciones:
 
El deber de información en la LSSI
 
La LSSI obliga al prestador de servicios que administra la página web y que va a instalar las cookies, a informar de forma clara y concisa al usuario sobre el uso y, por lo tanto instalación, de todo tipo de cookies (no técnicas) durante su navegación.
 
Esta obligación fue interpretada en profundidad por la Agencia Española de Protección de Datos (AGPD) quién terminó elaborando una guía práctica muy didáctica en la que resumía tanto las obligaciones impuestas por la ley como la forma correcta de cumplirlas: La “Guía sobre el uso de cookies”.
 
En base a esta Guía, la forma para informar correctamente al usuario es por medio del llamado “método de la doble capa”. Bajo este formato, en una primera capa de la página se informa al usuario, de forma básica y resumida, de la existencia de cookies. Y, en una segunda capa (en la mayoría de casos, el Aviso Legal) se detalla qué tipo de cookies se usan en la web, qué hacen estas, quién las instala, qué finalidades tienen, cuanto tiempo restarán instaladas o cómo hacer para eliminarlas en cada tipo de navegador.
 
Información que, obviamente, debe ser mostrada en el idioma del usuario al que va destinada la web y de una forma comprensible para este (siendo necesario valorar cual es el usuario medio al que va destinada la página web para conocerlo).
 
La obtención del consentimiento para el uso de cookies

Correctamente informado, el usuario puede dar su consentimiento para que se instalen cookies en su terminal. Así, en la primera capa de información, el prestador de servicios de la sociedad de la información debe disponer de un apartado en el que este usuario acepte (o deniegue) la instalación de cookies en su terminal.
 
Según establece el artículo 22.2 LSSI, el consentimiento debe ser otorgado de conformidad con lo dispuesto en la Ley Orgánica de Protección de Datos (LOPD). Una ley que, en su artículo 3.h LOPD, establece que por consentimiento se entiende toda manifestación de voluntad, libre, inequívoca, específica e informada mediante la cual el usuario acepta el uso de cookies.
 

El cumplimiento (real) de la ley

Así pues, cumpliéndose estas dos obligaciones se estarían cumpliendo con la LSSI. Ahora bien, ¿cuál es el problema? El principal problema de esta obligación es que no gusta al usuario y no garantiza su cumplimiento por parte de los obligados.
 
Y no solo eso, también hay muchos otros detractores de la obligación. Un ejemplo claro es el de los diseñadores de páginas web los cuales se quejan de la aberración que supone el poner un anti-estético “aviso de cookies” en la página que están diseñando. Para estos, el deber incluir una primera capa en la navegación no solo es algo que le quita visibilidad a la página (algo vital en el marketing digital) sino que también resulta bastante inútil dado que nadie se suele leer los avisos concretos que se muestran.
 
También existen otros colectivos que denuncian que el artículo 22.2 LSSI no está funcionando ya que en muchas ocasiones el aviso de cookies es meramente decorativo y no cumple función alguna. El ejemplo más gráfico de ello son aquellas páginas que te solicitan permiso para la instalación de unas cookies que ellos ya te han instalado al acceder a la web.
 
Paralelamente a los anteriores están los propios usuarios que en muchas ocasiones se quejan de no disponer de toda la información necesaria en la página web para conocer qué están aceptando o la imposibilidad de denegar tan solo el uso de unos determinados tipos de cookies.
 
Por ello, muchos son los emprendedores que han desarrollado aplicaciones o extensiones web para evitar la instalación de las cookies a aquellos usuarios que estén verdaderamente preocupados por su privacidad online. Ejemplo de ello son la aplicación Ghostery, que permite seleccionar qué cookies no son del interés del usuario y evitar su instalación con independencia de la página web visitada. Una solución que supone tan solo un parche al verdadero motivo de fondo: la pérdida de privacidad por parte de los usuarios de internet que no disponen de las debidas herramientas legales para hacer frente al grave problema que pueden ser las cookies.
 

Las sanciones a la ley de cookies [Actualización: 21 de enero de 2018]

Mucha gente me ha hecho notar que a este post le faltaba una parte muy importante para terminar de ser completo: las consecuencias del incumplimiento de la LSSI. Y con ello me refiero no solo a exponer cuáles son las consecuencias legalmente previstas para el incumplimiento de la ley de cookies sino cuales son las consecuencias reales y prácticas de dicho incumplimiento en España. Bien, aprovecho esta actualización del post para hacerlo.
 
¿Cómo sanciona la LSSI un incumplimiento relacionado con las cookies?
 
Según el artículo 38.4 y 39.1.c LSSI, utilizar dispositivos de almacenamiento y recuperación de datos (cookies) cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario se considerará como una infracción leve y podrá ser sancionada con una multa de hasta 30.000 euros.
 
¿Qué se tendrá en consideración para establecer la cuantía de la infracción? Aspectos como la intencionalidad de los hechos, el plazo de tiempo durante el que se haya venido cometiendo la infracción, la reincidencia o los beneficios obtenidos por la infracción (algo que incluye el volumen de facturación generado directa o indirectamente con la infracción), son algunos que se tendrían en cuenta a la hora de fijar la cuantía en una cantidad más o menos cercana a los 30.000€ que fija la ley.
 
¿Cómo funciona el procedimiento sancionador?
 
Para responder a esta pregunta voy a tomar una de las últimas resoluciones publicadas por la Agencia Española de Protección de Datos (AEPD) sobre el tema. En concreto, la Resolución R/01758/2018.
 
El supuesto de la resolución es el siguiente: previa denuncia de un particular (cuyos datos personales devienen confidenciales para el público pero no tiene porque para el denunciado), la AEPD investiga a una página web por tener: 1) una política de cookies que contiene una Política de cookies inconcreta, 2) errores en la primera capa de información (no dispone de un enlace a la segunda capa ni informa sobre la función de las cookies) y 3) descargar las cookies sin que el usuario las haya aceptado.
 
Una investigación que, por cierto, se realiza de forma remota y en dos días distintos (con cuatro meses de distancia) para comprobar si el presunto infractor cumple o no con las disposiciones previstas para cookies. Todas las disposiciones, no solo aquellas por las cuales se ha denunciado.
 
La investigación termina con la apertura de un trámite de audiencia previa con el infractor que no puede efectuarse correctamente por no funcionar el correo electrónico disponible en el Aviso Legal.
 
Por todo ello, y siguiendo adelante con el procedimiento sancionador, la AEPD dictamina que la web no cumple con lo previsto en la LSSI para cookies y que es procedente típica esta situación como una infracción leve del artículo 38.4.g) de la LSSI.
 
Ahora bien, la Agencia no imponía ninguna sanción (esto es potestad del Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información) sino que imponía una advertencia por la cual la empresa infractora debía: cumplir con lo previsto en el artículo 22.2 LSSI en el plazo de un mes e informar a la AEPD de tal circunstancia aportando toda documentación posible.
 
Una decisión bastante habitual a la práctica (de ahí a que os haya traído esta resolución) que deriva del artículo 39.2 bis LSSI que establece lo siguiente:


2. Los órganos con competencia sancionadora, atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, podrán acordar no iniciar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable, a fin de que en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que, en cada caso, resulten pertinentes, siempre que concurran los siguientes presupuestos:
 
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
 
b) Que el órgano competente no hubiese sancionado o apercibido con anterioridad al infractor como consecuencia de la comisión de infracciones previstas en esta Ley.
 
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado, procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.

En resumen, la situación habitual ante un incumplimiento leve por normativa de cookies suele pasar por las fases descritas en este supuesto:
 
1.- Primero, la AEPD te investiga, ya sea por una denuncia previa o de oficio.
 
2.- Segundo, al ver que incumples, la AEPD trata de contactar contigo para que te puedas defender.
 
3.- Tercero, una vez te has manifestado, la AEPD te indica en qué incumples y te dá un plazo para cumplir.
 
4.- Cuarto y último, si no cumples con lo especificado, se abre un procedimiento sancionador y, ahora sí, se te multa.
 

Las obligaciones legales de las cookies con el nuevo Reglamento General de Protección de datos [Actualización: 30 de enero de 2018]

¿Cómo afecta el nuevo Reglamento europeo de protección de datos a las obligaciones de las cookies? Este es, sin duda, otra de las grandes preguntas que mucha gente me formula últimamente. En primer lugar decirles que, técnicamente, la LSSI no depende de la Directiva 95/46/CE que deroga el RGPD sino de la Directiva 2009/136/CE. Por lo tanto, a priori, no debería afectar la entrada en vigor del RGPD al texto incluido y vigente en la LSSI. De hecho, como ya comenté en el artículo El futuro de la ley de cookies en Europa, la legislación de cookies que deberá sustituir a la Directiva 2009/136/CE y adaptar las comunicaciones electrónicas al RGPD todavía está en debate parlamentario en la Unión Europea.
 
No obstante, las cookies pueden recoger muchos datos personales sobre los usuarios (por ejemplo, la IP) por la cual cosa también deben cumplir con las obligaciones relativas a la protección de datos. En este sentido, se podría decir que hay una afectación indirecta del RGPD sobre el artículo 22.2 LSSI que modificaría algunas de las cosas que expuse en su tiempo en este mismo post. En concreto, lo que se vería alterado es lo siguiente:
 
Ampliación del deber de información
 
Si bien se mantiene la obligación de informar al usuario sobre la existencia de cookies en la web, con el nuevo RGPD también sería obligatorio informar sobre todas y cada una de sus finalidades. Así pues, ya no basta con informar al usuario de la existencia de cookies propias y de terceros en la primera capa sino que ahora es necesario indicar cuáles son esas cookies y que hacen específicamente.
 
Mayor alcance del consentimiento
 
¿Y por qué debemos informar sobre todas y cada una de las cookies presentes en la página? Porque ahora el usuario ha de poder aceptar una por una las cookies que se le instalen pues cada una de ellas se utiliza para una finalidad concreta (a no ser que se disponga de varias cookies para una misma finalidad, en tal caso sí se podrían agrupar). En este sentido, mi recomendación es usar plugins como Quantcast. Bien configurada, la opción que presenta esta empresa puede dar perfecto cumplimiento con lo dispuesto en la normativa RGPD.
 
En resumen, los deberes de información y obtención del consentimiento se mantienen y también la idea de disponer la información en doble capa. No obstante, con el nuevo reglamento de protección de datos se amplían las exigencias previstas para todas y cada una de estas obligaciones.