Privacidad y protección de datos

Desmontando las galletas · Blog sobre privacidad y legal web

Privacidad y protección de datos

Desmontando las galletas

(0) 21/11/2014 12:24h

 
Es imposible que no hayáis visto esos banners bastante molestos (sobre todo si accedes desde el móvil) que aparecen en algunas páginas. Si sólo los cierras confundiéndolos con publicidad te diré que en realidad están avisándote sobre la utilización que hace esa web de cookies. Esos textos aparecen porque una Ley así lo establece. Concretamente se obliga a informar y recabar el consentimiento de los usuarios web y por eso aparecen los banners. Pero si os fijáis, que estoy seguro que no es así porque quién se fija en unos avisos que son por encima de todas las cosas un incordio y sólo quieres cerrarlos, hay avisos muy diferentes. Me estoy refiriendo a la información que se proporciona, tanto en esa primera ración, como en los tramos adicionales, en aquellos avisos que incorporan “más información”. Qué confusión. Los avisos se hacen para cumplir con la Ley ¿Por qué son diferentes? Es decir, si tenemos la Ley, una guía elaborada con la intervención de la Agencia Española de Protección de Datos y se publican las multas y sus razones, ¿por qué los contenidos son tan diferentes? ¿No deberían ser más o menos iguales? Pues no.
Voy a intentar explicar cómo preparo un aviso legal para cookies, qué tengo en cuanta, qué contenido debe de aparecer y en qué consiste el sistema de información de “doble capa”. Entender que lo que sigue no pretende ser, ni de hecho es, asesoramiento jurídico. No ofrezco soluciones generales y uniformes para el cumplimiento de la Ley, sólo es un esquema de la forma en que estructuro mi trabajo en este ámbito, que sigue la citada Guía y las recomendaciones de la Agencia Española de Protección de Datos. Hay que analizar caso por caso las cookies utilizadas y buscar la solución más adecuada para el cumplimiento de la norma. Si tienes cualquier duda, o quieres información adicional, contacta.

Empecemos ¿Qué es una “cookie”?

 
De acuerdo con la “Guía sobre el uso de las cookies” es “cualquier archivo o dispositivo que se descarga en el equipo terminal de un usuario con la finalidad de almacenar datos que podrían ser actualizados y recuperados por la entidad responsable de la instalación”

¿Y por qué tanta preocupación ahora? ¿Han hecho una ley para esto de las cookies?

 
La idea es que a través de las cookies se efectúan tratamientos de datos de carácter personal de los usuarios, cuya trascendencia podemos pasar por alto pero son muy potentes y rentables para las empresas que explotan esta información. Se trata de aplicar los principios de la normativa nacional y europea de protección de datos a esta herramienta, y para ello se debe informar y recabar el consentimiento en determinadas circunstancias.
En realidad no hay ninguna “Ley de cookies” sólo la inclusión del artículo 22. 2 en la Ley, 34/2002, de 11 de julio, de servicios de la sociedad de la información y comercio electrónico (LSSI). Esto tiene su importancia porque previamente debemos verificar si somos prestadores de servicios de la sociedad de la información. Quizás en otro post lo explique con matices, por ahora nos basta con responder a la pregunta ¿efectúas algún tipo de actividad económica a través de la web? Si la respuesta es sí, eres un prestador de servicios de la sociedad de la información y debes cumplir la LSSI, que incluye, entre otras cosas, disposiciones respecto a las cookies que tu web utiliza.

Entendido ¿qué tengo que hacer?

 
Lo primero es saber qué cookies utiliza nuestra web. No nos basta el nombre de pila “PHPSESSID”, “_utma” o “_utmz”, por ejemplo. Necesitamos saber qué hacen, porqué se están utilizando y quien las utiliza. Con esta información nos vamos al meollo del asunto que no es otro que categorizar la cookie, ¿es necesario informar y recabar el consentimiento del usuario por esta cookie en cuestión? La guía que os enlazo arriba lo explica muy bien: no hay que hacer nada con las cookies utilizadas para alguna de las siguientes finalidades:
Permitir únicamente la comunicación entre el equipo del usuario y la red.
Estrictamente prestar un servicio expresamente solicitado por el usuario.
Vale ¿Y qué cookies hacen esto? Es decir, ¿para qué cookies no es aplicable la norma?
El Grupo de Trabajo del Artículo 29, en su dictamen 4/2013, entiende que estas finalidades se cumplen en las siguientes cookies:
De entrada de usuario, de autenticación o identificación de usuario (sólo de sesión), de seguridad, de sesión de reproductor multimedia, de sesión para equilibrar la carga, de personalización de interfaz de usuario, de complemento (plug-in) para intercambiar contenidos sociales.
Mucha atención a la caducidad de las cookies. Tener en cuenta que el Grupo de Trabajo del Artículo 29 relaciona la aplicación de la excepción legal a la relación de su caducidad con su finalidad. Es razonable pensar que las cookies de sesión estarán exceptuadas y, por el contrario, las cookies permanentes, no. Así pues, para valorar o no la aplicación del artículo 22.2 LSSI hay que tener en cuenta si las cookies son propias o de terceros, de sesión o permanentes y ver qué hacen, para qué se utilizan.

Ok. Tengo de esas de las que no hace falta informar ni recabar el consentimiento del usuario, pero también otras que hacen más cosas ¿Qué tengo que hacer?

Como hemos visto, informar y recabar el consentimiento.
¿Qué información? El artículo 22.2 LSSI nos habla de información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica, 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD). Vaya, aparece otra Ley aquí. En mi opinión, la mención a la LOPD aquí, además de la aplicación en bloque de sus principios, acentúa la necesidad de que el texto informativo contenga las finalidades, determinadas y explicitas. Debemos de poner para qué se utilizan, sin vaguedades, sin fórmulas ambiguas o genéricas (“…que sea de su interés” “…para el cumplimiento de nuestros servicios”). Os recomiendo el sistema de información  por capas.

¿Perdón?

Este sistema de información es el del principio, el de los banners. Aparece el contenido más importante en la primera capa, al acceder a la web y se da opción a acceder a más información. En la primera capa, la Guía relaciona el siguiente contenido (copio):
Advertencia del uso de cookies no exceptuadas que se instalan al navegar por dicha página o al utilizar el servicio solicitado.
Identificación de las finalidades de las cookies que se instalan. Información sobre si instalación y uso de las cookies será solo si el editor responsable de la web o de terceros asociados a él
En su caso, advertencia de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de cookies (esto ya es consentimiento)
Un enlace a una segunda capa informativa en la que se incluye una información más detallada.

Más o menos lo entiendo ¿Y la segunda capa?

Definición  y función de las cookies, información a través de un cuadro o listado sobre el tipo de cookies que utiliza la web y su finalidad, información sobre la forma de desactivar o eliminar las cookies, información sobre quien utiliza las cookies (es decir, si son cookies de un tercero, también debemos de identificarlo)
Esto en cuanto al cumplimiento del deber de informar, ¿y el consentimiento?
Puede hacerse de forma expresa, habilitando un botón “acepto” o infiriéndolo de acciones del usuario, siempre y cuando se le haya informado correctamente.

Vamos terminando

En resumen, tener claro qué cookies utilizáis, identificar de quien es, si vuestra o de otro y si es así identificarlo, tened claro para qué se utilizan. Y si es necesario, informar y recabar el consentimiento de vuestros usuarios.

Legal web
Anterior Siguiente

Comentarios (0)

¿Quieres comentar este post?

Código anti Spam

Política de privacidad y Responsabilidad de los comentarios