La Agencia Española de Protección de Datos (AEPD), junto con la industria, representada a través de Adigital, Anunciantes, Autocontrol e IAB Spain, ha actualizado su Guía sobre el uso de las cookies (noviembre de 2019). En concreto, la actualización se debe a la necesidad de adecuar el contenido de la guía anterior, que fue la primera en la materia en la Unión Europea, a la normativa sobre protección de datos, tanto el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos o RGPD) como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD).
Una cuestión transcendental al aproximarse a esta guía es la relativa a la necesidad de considerar, por una parte, las obligaciones sobre el uso de dispositivos de almacenamiento y recuperación de datos en equipos terminales de destinatarios, previstas en el apartado segundo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) y, por otra parte, las obligaciones relativas al tratamiento de datos personales al que dé lugar el uso de dichos dispositivos, conforme al RGPD y a la LOPDGDD.
El uso de cookies u otras tecnologías similares, tales como los local shared objects o flash cookies, web beacons, etc. implica que la norma general sea la necesidad del consentimiento del destinatario cuando vayan a ser utilizadas para los fines que se indicarán posteriormente. El consentimiento será válido si se ha proporcionado, previamente a la instalación, información clara y completa sobre su utilización. Esta norma general tiene una excepción en el caso de cookies u otras tecnologías similares que se utilicen con fines técnicos.
Aunque no se produzca un tratamiento de datos personales, es aplicable lo dispuesto en la LSSI, por ejemplo, al uso de cookies con fines de publicidad en un sitio web de comercio electrónico dirigido a empresas (B2B). Es decir, salvo que se trate de cookies técnicas sería necesario el consentimiento y la información al destinatario. No obstante, si las cookies técnicas fueran también utilizadas para finalidades sujetas al cumplimiento de las citadas obligaciones, por ejemplo, para fines publicitarios comportamentales, tendrán que cumplir con dichas obligaciones.
Es decir, el uso de cookies de preferencias o personalización, cookies de análisis o medición, así como cookies de publicidad comportamental, aunque no impliquen un tratamiento de datos personales, requiere informar al destinatario y obtener su consentimiento. A tal fin se considera destinatario, según la definición dada en la LSSI, a “la persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información”.
Además, cuando el uso de las cookies y tecnologías similares implica un tratamiento de datos personales, las obligaciones relativas a la información y al consentimiento tendrán que cumplir también con los requisitos de la normativa aplicable sobre protección de datos personales. Al respecto, la guía de la AEPD ofrece algunos ejemplos sobre cómo informar por capas, es decir, a través de una primera capa, en la que, entre otras cuestiones, se identifique al editor responsable del sitio web, las finalidades de las cookies, si son propias o de terceros, y de una segunda capa en la que se amplíe la información anterior. Y también prevé que se pueda informar a través de un aviso suficientemente visible, por ejemplo, a través de una política de cookies accesible a través de un enlace claramente visible. En cualquier caso, la información deberá ser concisa, transparente e inteligible, utilizando un lenguaje claro y sencillo.
En cuanto al consentimiento, la guía proporciona también varias modalidades, siempre y cuando se obtenga antes de instalar la cookie u otra tecnología similar. Estas modalidades pueden ser obtener el consentimiento al solicitar el alta en un servicio; durante el proceso de configuración del funcionamiento de la página web o aplicación; a través de plataformas de gestión del consentimiento; antes de descargar un servicio o aplicación; a través de la información por capas, incluyendo la obtención del consentimiento en la primera capa, o a través de la configuración del navegador. Lo que no serviría, tal y como ha puesto de manifiesto la sentencia del Tribunal de Justicia de la Unión Europea, de 1 de octubre de 2019, en el asunto C-673/17, en el caso Planet49, es una casilla marcada por defecto, ya que no implica una acción afirmativa por el destinatario.
Es importante tener en cuenta que, siguiendo el criterio del Comité Europeo de Protección de Datos (CEPD) en relación con el consentimiento (WP, 259 rev.01) será válido durante 24 meses para el uso de una determinada cookie y siempre que durante dicho periodo se conserve la selección de las preferencias hecha por el usuario. El consentimiento que se haya dado deberá poder revocarse en cualquier momento y de manera fácil.
Miguel Recio
