Ya disponible mi libro sobre las leyes en los deportes electrónicos

blog

reflexiones e investigación jurídica

Las obligaciones legales de las cookies: el artículo 22.2 LSSI

Ejemplo de lo que podría ser una cookie de seguimiento vía JavaScript.

Fecha del post: 9 de marzo de 2016
 
Dudo que a estas alturas de 2016 quede alguien sin conocer qué son las cookies, para qué sirven o qué obligaciones legales implica el utilizarlas. Sobre todo porque es muy raro no entrar en una página web y no ver uno de esos engorrosos ‘displayers’ informando y pidiendo al consentimiento del usuario para poder instalarlas.
 
Sin embargo, para todos aquellos que aun no conozcan el detalle de estas obligaciones legales, no conozcan qué deben hacer para cumplir con la LSSI o no hayan entendido la importancia de aplicaciones como Piwik para el uso “básico” de las cookies (las cuales relataba en mi post PIWIK, ¿una forma para evitar los avisos de cookies?), voy a hacer este post resumiendo un poco todo el tema de obligaciones legales de las cookies.

La Ley de Servicios de la Sociedad de la Información

El 1 de abril en 2012, y derivado del Real Decreto-ley 13/2012, entró en vigor en España una modificación de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico, más conocida por el acrónimo “LSSI”. En concreto, se modificaba el artículo 22.2 LSSI para que dispusiera el siguiente contenido:

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios , a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Analicemoslo por partes.
 
1.- ¿Quiénes son los prestadores de servicios?
 
Según dispone la propia ley, la LSSI tan solo se aplica a todas aquellas personas (físicas o jurídicas) que presten servicios a título oneroso, a distancia, por vía electrónica y a petición individual. Es decir, servicios que constituyan una actividad económica directa (por ejemplo, un ecommerce) o indirecta (por ejemplo, ingresos por publicidad) para el administrador de una página web o servicio ejercido por internet y solicitado por el propio usuario (es decir, que no sea una emisión televisiva o radiofónica en las que se cualquiera puede ser receptor sin solicitarlo). Las personas que cumplan estos requisitos serán considerados como los prestadores de servicios de la sociedad de la información.
 
Puede parecer muy básico pero explicaré el porqué de este punto: si no entras dentro del ámbito de aplicación de la ley, no debes cumplir con sus obligaciones. O lo que es lo mismo, todos aquellos blogs personales sin publicidad o páginas web de información de una empresa o páginas, en la medida que no suponen una actividad económica para la persona (esto es, no obtiene ningún rendimiento económico directamente por el uso de la web), no deberán cumplir con las obligaciones del articulo 22.2 LSSI.
 
Una exclusión que, además, se produce por imperativo legal si el prestador de servicios de la sociedad de la información entra dentro de alguna de las categorías de sujetos excluidos del artículo 5 LSSI como son los notarios y registradores (en el ejercicio de sus respectivas funciones públicas) o los servicios prestados por abogados y procuradores en el ejercicio de sus funciones de representación y defensa en juicio.
 
2.-¿Qué son los “dispositivos de almacenamiento y recuperación de datos”?
 
La LSSI utiliza la expresión “dispositivos de almacenamiento y recuperación de datos” por motivos de neutralidad tecnológica. Según este principio, cuando el legislador regula una cuestión técnica lo debe hacer de la forma más genérica posible, sin dar preferencia a ninguna tecnología existente en concreto.
 
Una técnica legislativa muy lógica si tenemos en cuenta que la tecnología avanza muy rápidamente y que si se opta por una regulación concreta y a medida por una tecnología, cuando esta evolucione o se modifique en uno de sus elementos, nos encontraríamos ante una “brecha legal” con la que saltarse la ley. Algo que sucede en este caso dónde se habla de ‘cookies’ pero en realidad también incluyen multitud de técnicas o funciones que no encajan dentro de este sustantivo.
 
3.- ¿Qué uso de las cookies regula la ley?
 
Es importante destacar que la ley regula el uso de cookies “en” equipos terminales de los destinatarios. El hecho de que se use la preposición “en” (en el sentido de “dentro de”) es muy importante de cara a comprender la finalidad de la ley. Así, la LSSI regula dos cosas: 1) la instalación de cookies en un terminal de otro usuario y, 2) el poder usar estas cookies instaladas para que un tercero recoja información del usuario.
 
Para el que no lo sepa, las cookies son pequeños archivos informáticos que se instalan en el terminal del usuario para poderlo reconocer (cookies propias) o, entre otros usos, para que un tercero pueda saber qué anuncios mostrarte en esa página web (cookies de terceros). En este caso, la finalidad de la ley es controlar la privacidad de los usuarios y evitar el tracking de terceros por lo que se quiere regular el uso de cookies que lo hagan. De ahí a que se hable de instalar cookies EN el terminal, porque se quiere evitar que con ese archivo se vulnere la privacidad de los usuarios. Interpretar la norma de otra forma, en mi opinión, iría contra toda lógica.
 
Ahora bien, no todas las cookies que se instalen deberán cumplir con las obligaciones impuestas por el artículo 22.2 LSSI. El propio legislador prevé dos excepciones a esta obligación:

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Por lo tanto, todas aquellas cookies que sirvan a una página web o a una aplicación para mostrar su contenido, permitir la transmisión de la información o sean necesarias para garantizar una óptima experiencia de uso al usuario, no deberían entrar dentro de estas obligaciones. El problema deriva, como no podría ser de otra forma, de valorar en cada caso concreto si una cookie debe considerarse como técnica o no. Por ejemplo, una cookie técnica evidente es la que permite mantenerse “logeado” en una página que disponga de espacios privados. Sin esta cookie el usuario debería hacer log-in cada vez que refrescara la página, por lo que se afectaría gravemente su experiencia al navegar. Otro ejemplo sería el de las cookies destinadas a amoldar el código CSS de la web al terminal que lo visita puesto que tales cookies tan solo buscan conocer el usuario de cara a mostrarle información gráficamente apropiada para el uso de la web.
 

Las dos obligaciones legales de la LSSI

Analizados todos los aspectos anteriores tan solo nos queda por ver cuáles son las obligaciones impuestas por el artículo 22.2 LSSI. Pues bien, son dos los aspectos que se deben cumplir para que un prestador de servicios de la sociedad de la información pueda instalar cookies en sus usuarios: informar al usuario y obtener su consentimiento para el uso.
 
Vamos a ver qué supone cada una de estas obligaciones:
 
El deber de información en la LSSI
 
La LSSI obliga al prestador de servicios que administra la página web y que va a instalar las cookies, a informar de forma clara y concisa al usuario sobre el uso y, por lo tanto instalación, de todo tipo de cookies (no técnicas) durante su navegación.
 
Esta obligación fue interpretada en profundidad por la Agencia Española de Protección de Datos (AGPD) quién terminó elaborando una guía práctica muy didáctica en la que resumía tanto las obligaciones impuestas por la ley como la forma correcta de cumplirlas: La “Guía sobre el uso de cookies”.
 
En base a esta Guía, la forma para informar correctamente al usuario es por medio del llamado “método de la doble capa”. Bajo este formato, en una primera capa de la página se informa al usuario, de forma básica y resumida, de la existencia de cookies. Y, en una segunda capa (en la mayoría de casos, el Aviso Legal) se detalla qué tipo de cookies se usan en la web, qué hacen estas, quién las instala, qué finalidades tienen, cuanto tiempo restarán instaladas o cómo hacer para eliminarlas en cada tipo de navegador.
 
Información que, obviamente, debe ser mostrada en el idioma del usuario al que va destinada la web y de una forma comprensible para este (siendo necesario valorar cual es el usuario medio al que va destinada la página web para conocerlo).
 
La obtención del consentimiento para el uso de cookies

Correctamente informado, el usuario puede dar su consentimiento para que se instalen cookies en su terminal. Así, en la primera capa de información, el prestador de servicios de la sociedad de la información debe disponer de un apartado en el que este usuario acepte (o deniegue) la instalación de cookies en su terminal.
 
Según establece el artículo 22.2 LSSI, el consentimiento debe ser otorgado de conformidad con lo dispuesto en la Ley Orgánica de Protección de Datos (LOPD). Una ley que, en su artículo 3.h LOPD, establece que por consentimiento se entiende toda manifestación de voluntad, libre, inequívoca, específica e informada mediante la cual el usuario acepta el uso de cookies.

El cumplimiento de la ley

 
Así pues, cumpliéndose estas dos obligaciones se estarían cumpliendo con la LSSI. Ahora bien, ¿cuál es el problema? El principal problema de esta obligación es que no gusta al usuario y no garantiza su cumplimiento por parte de los obligados.
 
Y no solo eso, también hay muchos otros detractores de la obligación. Un ejemplo claro es el de los diseñadores de páginas web los cuales se quejan de la aberración que supone el poner un anti-estético “aviso de cookies” en la página que están diseñando. Para estos, el deber incluir una primera capa en la navegación no solo es algo que le quita visibilidad a la página (algo vital en el marketing digital) sino que también resulta bastante inútil dado que nadie se suele leer los avisos concretos que se muestran.
 
También existen otros colectivos que denuncian que el artículo 22.2 LSSI no está funcionando ya que en muchas ocasiones el aviso de cookies es meramente decorativo y no cumple función alguna. El ejemplo más gráfico de ello son aquellas páginas que te solicitan permiso para la instalación de unas cookies que ellos ya te han instalado al acceder a la web.
 
Paralelamente a los anteriores están los propios usuarios que en muchas ocasiones se quejan de no disponer de toda la información necesaria en la página web para conocer qué están aceptando o la imposibilidad de denegar tan solo el uso de unos determinados tipos de cookies.
 
Por ello, muchos son los emprendedores que han desarrollado aplicaciones o extensiones web para evitar la instalación de las cookies a aquellos usuarios que estén verdaderamente preocupados por su privacidad online. Ejemplo de ello son la aplicación Ghostery, que permite seleccionar qué cookies no son del interés del usuario y evitar su instalación con independencia de la página web visitada. Una solución que supone tan solo un parche al verdadero motivo de fondo: la pérdida de privacidad por parte de los usuarios de internet que no disponen de las debidas herramientas legales para hacer frente al grave problema que pueden ser las cookies.