Judith Nieto Galende

Colaboradora editorial.

@judithng9

“El poder de los datos, traspasa fronteras”.

Vivimos en un mundo en el que la información y los datos juegan un papel fundamental. Nuestros datos personales definen nuestra identidad. Gracias, a estos fragmentos de información podemos conocer todo de una persona,como se comporta, cuál es su ideología política, dónde compra, o que aficiones tiene. En definitiva, los datos poseen un valor ilimitado, y se han convertido en un negocio difícil de controlar y escasamente regulado. La disponibilidad de los datos está revolucionando el mundo económico y jurídico.Con la aparición de las nuevas tecnologías  e internet el flujo de información ha aumentado hasta niveles estratosféricos. Miles de personas comparten cada día en las redes sociales millones de esos fragmentos de información que conocemos como datos. Pero no sólo eso, miles de personas navegan por la red desconociendo el uso posterior que se les dará a todos esos datos o registro de actividad que están dejando poniendo en peligro su privacidad. Internet es uno de los pocos sectores de la economía que actualmente continúa creciendo, y posicionándose como pionero en la economía local y europea. Sin embargo, aún no existe una verdadera y detallada regulación en esta materia.

LA NUEVA GUÍA  DE LA AEPD PUBLICADA EN NOVIEMBRE Y EL USO DE LAS COOKIES

Hace unos días, con el objetivo de ofrecer una interpretación acorde con el Reglamento General de Protección de Datos conocido como “RPD” y afianzar la protección de los datos personales, la AEPD decidió publicar una guía en la que interpreta y define el alcance de la regulación relativa al uso de las cookies. No olvidemos que la Agencia Española de Protección de Datos es un organismo público creado específicamente para velar por el cumplimiento de la Ley de Protección de Datos de Carácter Personal en España.

Para ser más exactos, las soluciones propuestas en la  guía pretenden ofrecer orientaciones sobre cómo cumplir las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico , en relación con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos ( RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPDGDD).El artículo 22.2 se remite a la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en lo relativo a los requisitos del consentimiento informado, si bien en la actualidad esta remisión se ha de interpretar  en relación al  RGPD, aplicable desde el 25 de mayo de 2018, y a la LOPDGDD, aplicable desde el 7 de diciembre de 2018.

El RGPD ya advierte en su considerando 30 del peligro que entrañan las cookies por su capacidad para crear perfiles individualizados de  las personas físicas e identificarlas. Por este motivo, cuando la utilización de una cookie conlleve el tratamiento de datos personales, los responsables de tal tratamiento deberán asegurarse del cumplimiento de las exigencias adicionales establecidas por la normativa sobre protección de datos personales, en particular en relación con las categorías especiales de datos.

A estos efectos, se considerará que existe tratamiento de datos personales cuando el usuario esté identificado por un nombre o dirección de email que lo identifique (por ejemplo, por tratarse de un usuario registrado) o cuando se utilicen identificadores únicos que permitan distinguir unos usuarios de otros y realizar un seguimiento individualizado.

LAS PRINCIPALES NOVEDADES

Resultado de imagen de aepd"

En relación con el requisito de la concisión de la información que debe ser suministrada por parte del editor o responsable de las cookies, el RGPD, señala que no será necesario que la información concreta sobre los terceros (es decir, su nombre o marca con la que el público pueda conocerlos y, en su caso, el enlace a la información que ofrece sobre sus cookies) sea directamente visible en la política de cookies, sino que podrán utilizarse mecanismos como botones que desplieguen esa información.

Los agentes responsables  del tratamiento de la información personal de los usuarios tienen la consideración de encargados del tratamiento. Esta figura de “encargado del tratamiento” se define en el artículo 4.8 del RGPD y se encuentra regulada en su artículo 28. En principio, cada responsable del tratamiento responde del tratamiento concreto que realice, y en aquellos casos en los que concurran diferentes responsables del tratamiento, cada uno de ellos asumirá su respectiva responsabilidad.

Asimismo, para controlar que no exista un riesgo elevado para el usuario al realizar la transferencia de la información almacenada por el editor a terceros países, con las garantías adecuadas, el GT29 en su Dictamen recalca que debe especificarse el artículo del RGPD que permite la transferencia, identificar a los terceros países y proporcionar información sobre dónde y cómo se puede acceder a la decisión de adecuación .

De igual forma, cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar, será necesario que se informe sobre la lógica utilizada, así como la importancia y las consecuencias previstas de dicho tratamiento para el usuario en los términos establecidos en el artículo 13.2 f) del RGPD.)Por otra parte, el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad. En este mismo sentido, el RGPD apunta que siempre debe ofrecerse un enfoque proporcionado de la información (limitando la cantidad limitada de información).

LA PUBLICIDAD COMPORTAMENTAL NO ENTRARÁ EN EL ÁMBITO DE LA RGPD

No obstante, en las directrices del GT29 sobre decisiones individuales automatizadas y elaboración de perfiles,  revisadas por última vez y adoptadas el 6 de febrero de 2018, se reconoce que, por ejemplo, la publicidad comportamental no entra generalmente en el ámbito del artículo 22.2 del RGPD, ya que en muchos casos típicos, la decisión de presentar publicidad dirigida basada en la elaboración de perfiles no tendrá un efecto significativamente similar en las personas”.

Las cookies de publicidad comportamental son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

 ¿QUÉ SON LAS COOKIES?

Una cookie es un archivo creado por un sitio web que contiene pequeñas cantidades de datos y que se envían entre un emisor y un receptor. En el caso de Internet el emisor sería el servidor donde está alojada la página web y el receptor es el navegador que usas para visitar cualquier página web. Su objetivo principal es identificar al usuario almacenando su historial de actividad en un sitio web específico, de manera que se le pueda ofrecer el contenido más apropiado según sus hábitos.

 

EL MARCO LEGAL

El Reglamento General de Protección de Datos es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta tanto al tratamiento de los datos personales como a la libre circulación de datos.

Como señala la AEPD, la Ley de Servicios de la Sociedad de la información (LSSI) resulta aplicable a las cookies entendidas como cualquier tipo de dispositivo de almacenamiento y recuperación de datos que se utilice en el equipo terminal de un usuario con la finalidad de almacenar información y recuperar la información ya almacenada(de conformidad con los establecido en su  artículo 22.2). Las cookies permiten el almacenamiento en el terminal del usuario de cantidades de datos que van de unos pocos kilobytes a varios megabytes.

En cuanto a los datos, el dato será personal cuando se trata de información sobre personas físicas identificadas o identificables, en los términos que establece el artículo 4 del RGPD.

 

EL ANÁLISIS SOBRE LA LEGISLACIÓN APLICABLE : EL ART 22 LSSI

1.- ¿Quiénes son los prestadores de servicios?

En primer lugar, debemos aclarar quién se encuentra dentro del ámbito de aplicación de la ley y por tanto quiénes están sujetos a estas obligaciones. Según dispone la propia ley, la LSSI tan solo se aplica a todas aquellas personas (físicas o jurídicas) que presten servicios a título oneroso, a distancia, por vía electrónica y a petición individual. Es decir, servicios que constituyan una actividad económica directa (por ejemplo, un ecommerce) o indirecta  para el administrador de una página web o servicio ejercido por internet y solicitado por el propio usuario (es decir, que no sea una emisión televisiva o radiofónica en las que se cualquiera puede ser receptor sin solicitarlo).

2.-¿Qué son los “dispositivos de almacenamiento y recuperación de datos”?La LSSI utiliza la expresión general “dispositivos de almacenamiento y recuperación de datos” por motivos de neutralidad tecnológica con el objetivo de que no se produzca una ” brecha o vacío legal” como consecuencia del avance de la teconología.

3.- ¿Qué uso de las cookies regula la ley?
Es importante destacar que la ley regula el uso de cookies “en” equipos terminales de los destinatarios. El hecho de que se use la preposición “en” (para indicar que está“dentro de”) es especialmente relevante para comprender la finalidad de la ley. Así, la LSSI regula dos cosas: 1) la instalación de cookies en un terminal de otro usuario y, 2) el poder usar estas cookies instaladas para que un tercero recoja información del usuario.

Concretamente, la finalidad de la ley es controlar la privacidad de los usuarios y evitar el tracking de terceros por lo que se quiere regular el uso de cookies que lo hagan. Por este motivo,se suele hablar de instalar cookies en el terminal, porque se quiere evitar que con ese archivo se vulnere la privacidad de los usuarios.

4.¿Está todos los tipos de “cookies” bajo control?

No. Dependiendo del tipo de cookies, existen ciertas excepciones que se escapan al ámbito de control de esta ley. En este sentido, el criterio considerado como determinante por el legislador en relación con las “cookies” reside en considerar si gozan de un carácter técnico o no. Es decir, todas aquellas cookies que sirvan a una página web o a una aplicación para mostrar su contenido, permitir la transmisión de la información o sean necesarias para garantizar una óptima experiencia de uso al usuario, no deberían entrar dentro de estas obligaciones

Las obligaciones legales y la dificultad de controlar aquello que no se ve  : El consentimiento y el deber de información

Tras realizar una revisión, y haber comprobado que las “cookies” se encuentran dentro del ámbito de aplicación de esta Ley, el siguiente paso se concreta en el cumplimiento de las obligaciones. Las obligaciones legales impuestas por la normativa  con carácter general son dos, a saber:

  1. La obligación de transparencia 
  2. la obligación de obtención del consentimiento.

 

LA OBLIGACIÓN DE TRANSPARIENCIA

El apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios
información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos. Esta información debe facilitarse, como se ha indicado, con arreglo a lo dispuesto el RGPD, que requiere que el tratamiento de los datos de los usuarios se realice de forma transparente para ellos. Por consiguiente, la información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.

En concreto la información facilitada debe cumplir los siguientes requisitos:

a) La información o la comunicación debe ser concisa, transparente e inteligible.El GT29, en su Dictamen 15/2011, recomendó tener en cuenta el tipo de usuario medio al que se dirige la página web y adecuar el lenguaje y el contenido de los mensajes a su nivel técnico.

b)Se ha de utilizar un lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje. Quedando prohibidas las frases como No serían válidas, por ejemplo, frases como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted”

c)La información debe ser de fácil acceso.

LA INFORMACIÓN POR CAPAS
En sus directrices sobre la transparencia, el GT29 recomienda el uso de declaraciones o avisos de privacidad por niveles, esto es, que contengan la información en capas, de modo
que se permita al usuario ir a aquellos aspectos de la declaración o aviso que sean de mayor interés para él, evitando el cansancio informativo para el usuario.

En la primera capa debe incluirse obligatoriamente:

  1. El editor responsable de la información sin que sea necesario incluir la denominación social
  2. La identificación de las finalidades de las cookies que se utilizarán.
  3. La Información sobre si las cookies son propias (del responsable de la página web) o también de terceros asociados a él. También debe incluirse la información genérica sobre el tipo de datos que se van a recopilar y utilizar en caso de que se elaboren perfiles de los usuarios (por ejemplo, cuando se utilicen cookies de
    publicidad comportamental).
  4. El  modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies, con la advertencia, en su caso, de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies. Por último debe incluirse también un enlace claramente visible dirigido a una segunda capa informativa en la que se incluya una información más detallada, utilizando, por ejemplo, el término “Cookies”, “Política de cookies” o “Más información, pulsa aquí

 

EL DEBER DE CONSENTIMIENTO Y QUIÉN DEBE PRESTARLO

El consentimiento es la base del cumplimiento de la normativa como explica la AEPD. Para la utilización de las cookies no exceptuadas será necesario en todo caso obtener el consentimiento del usuario.  De conformidad con el apartado 2 del artículo 22 de la LSSI el consentimiento debe ser prestado por los “destinatarios” de los servicios de la sociedad de la información.

Para que dicho consentimiento sea válido será necesario que el consentimiento haya sido otorgado de forma libre e informada. Por tanto, es necesario tener en cuenta lo siguiente:

  • a) Que las modalidades de prestación del consentimiento pueden ser variadas.
  • b)Que el usuario deberá haber realizado algún tipo de acción.
  • c) Que el usuario tendrá que haber sido informado previamente y con claridad con qué concreta acción suya acepta la utilización de las cookies, como, por ejemplo, si sigue navegando por la página web (entendiéndose que sigue navegando si desliza la barra de desplazamiento).
  • d)Que el usuario, en todo caso, podrá negarse a aceptar las cookies.
  • e) Que la información que se otorgue al usuario para que pueda consentir la utilización de las cookies se encuentre separada de la información que se le ofrezca sobre otros asuntos.

EL CONSENTIMIENTO DE LOS MENORES DE 14 AÑOS

Resultado de imagen de data protection technology"

Tratándose de menores de 14 años, aparecen ciertas particularidades, como que  el responsable del tratamiento deberá realizar todos los  esfuerzos razonables para verificar que el consentimiento para el tratamiento de datos personales fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias del tratamiento.

Dejar respuesta

Please enter your comment!
Please enter your name here