Ruth: Hola Héctor, ¿te enteraste de que la AEPD ha iniciado un expediente sancionador contra una empresa porque, aunque informa a los usuarios a efectos de obtener su consentimiento para la instalación de cookies, éstas ya se encuentran instaladas con anterioridad? Puedes leer al respecto en el blog de Pablo Fernández Burgueño, que ha escrito sobre ello y sabe bien de lo que escribe.
Héctor: Sí, he leído el blog y de nuevo me vienen a la cabeza antiguas dudas, por no hablar de mi posición en relación con la interpretación sobre el “consentimiento previo” a la instalación de las cookies y la posibilidad efectiva de poder cumplir con esa obligación en lo general.
Porque, a día de hoy, se sigue sosteniendo que dicho consentimiento debe ser previo, ¿verdad?
Ruth: Tal y como yo lo entiendo, sí. Intentaré resumirte los motivos por los que así lo creo:
1.- Por la literalidad de la norma: Tanto la Directiva como la LSSI indican que este tipo de dispositivos podrán utilizarse “a condición de que” el usuario “haya dado su consentimiento”
Actual Art. 5.3 de la Directiva 2002/58/CE:
«3. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario».
Art. 22.2 1er párrafo de la LSSI:
“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.
Es decir, no se expresa que podrán utilizarse “a condición de que el usuario otorgue su consentimiento” o “a condición de que se le de la opción de que lo pueda dar”, sino de que ya lo haya dado al momento de instalarse las cookies.
2.- Por el espíritu de la Ley: Entiendo que lo que se persigue es proteger al usuario frente a posibles técnicas intrusivas e instalación en sus dispositivos de elementos no deseados (algo así como tener que pedir permiso antes de instalar un sensor de movimiento en casa ajena y no meterlo a hurtadillas por la ventana), así como frente a un posible tratamiento de sus datos personales, y desde esta óptica es más que razonable que el consentimiento del usuario deba ser previo. De lo contrario la normativa no cumpliría su finalidad, carecería de efectividad, pues si se permitiera el consentimiento “a posteriori”, desde que una persona se accede a un sitio web en el que se utilizan cookies hasta que el usuario opta por dar o no su consentimiento, ya se le habría instalado una cookie y ésta, dependiendo de su función, podría haber transmitido cierta información (entre la que podrían llegar a encontrarse datos personales) desde el dispositivo del usuario.
Si nos vamos, además, al Considerando 66 de la Directiva 2009/136/CE por la que se modifica la Directiva 2002/58/CE sobre la Privacidad y las Comunicaciones Electrónicas, veremos que habla de que el usuario debe poder ejercer su derecho de negativa a que se le instalen este tipo de dispositivos y es claro que si, nada más acceder a un sitio web, ya se encuentran operativos, se le está impidiendo tal derecho, incluso aunque sólo sea por un breve lapso de tiempo.
3.- Así lo ha interpretado el Grupo de Trabajo del Art. 29 en su Dictamen 15/2011, donde entiende que aunque la norma no emplee la palabra “previamente”, así se deduce lógicamente del texto de la Directiva.
“Es de sentido común que el consentimiento ha de obtenerse «previamente» al inicio del tratamiento de datos. De otra forma, el tratamiento que se realizara durante el tiempo comprendido entre el momento en que comienza el tratamiento y el momento en que se obtiene el consentimiento sería ilegal por falta de base jurídica”.
De modo que el esquema de tiempos sería el siguiente:
Ahora bien, que esta sea mi conclusión, no significa que no sea consciente de lo kafkianas que pueden ser ciertas situaciones. Y es que estoy de acuerdo con Amedeo Maturo cuando dice que esto se debe a un ataque de “lopdismo”. Así, sólo por poner un ejemplo, me pregunto cómo pueden cumplir los propietarios de sitios web creados gracias a las plantillas de wordpress (como este blog), por ejemplo, que vienen con sus cookies ya instaladas. Hay quienes dicen que existen plugins para cumplir con la Ley de Cookies, pero, al parecer, no aportan plena garantía de cumplimiento. De hecho en el propio post enlazado se avisa al final de que la mayoría de los plugins enumerados no bloquean las cookies, y por tanto no se estaría cumpliendo estrictamente la ley. Y yo misma, a día de hoy, no estoy muy segura de cuál elegir.
En definitiva, hay multitud de posibles prestadores de servicios de la sociedad de la información (y digo posibles porque un debate previo necesariamente debe ser a quién se considera prestador de servicios con arreglo a la LSSI, que es otra cuestión muy divertida), que no obtiene un beneficio económico, o al menos no directo, a través de sus sitios web a quienes se está exigiendo, bien unos conocimientos técnicos muy elevados -para saber qué es una cookie, cómo funciona, cuáles emplea en su sitio web y cómo bloquearlas hasta que, en su caso, el usuario consienta su instalación-, bien un desembolso económico para que otros lo hagan por él, a quienes no saldrá rentable la cuenta. Todo ello con la posibilidad de que el día de mañana, si no se ha inventado ya, aparezcan posibles sistemas de rastreo, que instalen terceros, que pasen inadvertidos para los bloqueadores elegidos por el editor del sitio web.
¿Se han ponderado debidamente los intereses en juego?
Héctor: Pues te voy a decir algo, muy a título personal, sobre el mentado “consentimiento previo”: Creo que tanto la Directiva sobre privacidad y comunicaciones electrónicas como la LSSI, en relación con este tema, se han ido por donde no, se han pasado de proteccionistas y han establecido una obligación que raya en lo imposible de cumplir (con la inseguridad jurídica que ello conlleva, precisamente, en la sociedad de la información).
Y es que, en el estado actual de las cosas, ¿existe algún sitio web que, debiendo cumplir con la LSSI, recabe el consentimiento del usuario ANTES de que cualquier cookie no exenta del consentimiento le haya sido instalada en su equipo?
De verdad, para cumplir con “la letra” de la ley, que, ahora con todo lo que me has dicho la entiendo mejor, ¿debe un prestador de servicios detener, poner en pausa, la instalación de cookies, hasta no haber obtenido el consentimiento del usuario? ¡Pero si no estamos hablando de un formulario! Así entiendo por qué Amedeo habla de ataque de lopdismo.
Por comparar posiciones y disposiciones que conozco, me viene a la cabeza lo que la Information Comissioner’s Office del Reino Unido (ICO) ha dicho en relación con el consentimiento previo en su Guía sobre el uso de cookies (EN).
Palabras más, palabras menos, la ICO ha reconocido que es difícil esgrimir un buen argumento para sostener que el consentimiento para la realización de una acción pueda obtenerse válidamente después de que dicha acción ya ha ocurrido. Reconoce además que esa no es la forma generalmente aceptada para obtener el consentimiento en otras áreas, y que eso no es lo que los usuarios esperarían al respecto.
Un poco aventurado decir eso en estos tiempos, pues adivinar o anticipar lo que los usuarios esperan de su visita a un sitio web puede diferir mucho en función del tipo de usuario de que se trate, pero digamos que es verdad, que los usuarios en general esperan ser debida y anticipadamente advertidos de que la visita a un sitio web conlleva la instalación de cookies en sus equipos.
En todo caso, lo que quiero resaltar es que a renglón seguido se indica que el Comisionado de Información reconoce, SIN EMBARGO, que actualmente muchos sitios web instalan las cookies tan pronto como el usuario accede al sitio. Reconoce además que esta situación dificulta la obtención del consentimiento antes de que las cookies sean instaladas.
En este escenario, la Guía ICO sobre el uso de las cookies indica que siempre que sea posible, deberá retrasarse la instalación de las cookies hasta que el usuario haya tenido la oportunidad de entender qué cookies son las que están siendo utilizadas y haya podido realizar su elección.
Pero más aún, en la Guía se indica que cuando esto no sea posible (o sea, retrasar la instalación de las cookies), los “sitios web” deberán ser capaces de demostrar que están haciendo todo lo posible para reducir el plazo de tiempo anterior al momento en que los usuarios reciben la información sobre las cookies y se les ofrecen opciones al respecto. Y cierra estas consideraciones diciendo que un punto clave al respecto, es asegurar que la información que se proporciona no sólo es clara y comprensible, sino además fácilmente disponible.
Así que, aún sin comprometer demasiado su criterio, en esa Guía la ICO al menos reconoce cómo operan “muchos sitios web” y la dificultad que conlleva cumplir con el “consentimiento previo”.
Para mí está claro que la ICO trata de desenredar el nudo, haciendo malabares con lo que tiene a la mano, pues no puede quitarse de encima el hecho de que el consentimiento debe ser “previo”, aclarado sin lugar a dudas por el GT29, como ya lo has mencionado.
Por otro lado, (y como podrás imaginar) no puedo dejar de mencionar la forma en que se regula la instalación de cookies en México.
Para empezar, el tema no se aborda en relación con la prestación de servicios de la sociedad de la información, sino a través de la normativa sobre protección de datos personales y, de forma particular, en relación con la solicitud y obtención del consentimiento.
Por un lado, el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (sí, así se llama, no me culpes a mí) estable en su artículo 14 (Solicitud del consentimiento tácito):
«Cuando el responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar«.
Los Lineamientos del Aviso de Privacidad que entraron en vigor en México hace poco (abril de 2013) repiten lo anteriormente dicho, pero clarifican el cómo:
«Uso de cookies, web beacons u otras tecnologías similares
Trigésimo primero. En términos del artículo 14, último párrafo del Reglamento de la Ley, cuando el responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos personales, así como la forma en que se podrán deshabilitar, esto último salvo que dichas tecnologías sean necesarias por motivos técnicos.
Asimismo, el responsable deberá incluir en el aviso de privacidad la información a la que refiere el artículo 14 del Reglamento de la Ley y aquélla que deba ser informada en los términos de los presentes Lineamientos, entre ella, los datos personales que se recaban y las finalidades del tratamiento«.
Pareciera poca cosa, pero creo que al menos podemos decir que estas disposiciones regulan la situación de forma un poco más acorde con la realidad. Vamos, que llevado a lo que estamos hablando, se reconoce que (algunas) cookies permiten recabar datos personales al tiempo que el titular hace contacto con un sitio web y que debe ser en ese momento cuando el responsable debe cumplir con el principio de información.
El consentimiento se obtendría si el usuario sigue usando el sitio después de haber recibido la información, no antes ni después de acceder al mismo, sino en el momento de hacerlo. Regularlo de otra forma te va a llevar a la situación (absurda) de la que estamos hablando, dará pie a “n” mil explicaciones sobre el estado actual de la tecnología y a concluir lo que el ala más radical sostiene — Es lo que “dice” la ley –, aunque después no haya prestador de servicios promedio que pueda cumplir con la exigencia legal.
Yo creo que el tema es mucho más amplio que el simple momento en el cual se obtiene el consentimiento, sino que abarca además los intereses jurídicos protegidos, las medidas adoptadas por los prestadores de servicios para informar a los usuarios, la tecnología utilizada en el sitio web, si éste está montado sobre una plataforma proporcionada a su vez por un prestador de servicios (típico caso de los blogs), quién instala o decide sobre el tipo de cookies a instalar, la finalidad que se persigue con la instalación de las cookies y demás aspectos teleológicos.
Luego, analizado lo anterior, ya podrá decirse si estamos frente a un “sucio infractor” o frente a una persona que ha hecho todo lo posible para cumplir con la letra y el espíritu de la normativa, dentro de todo aquello que “humana, técnicamente y de buena fe” le ha sido posible hacer.
Conclusión…
Autores del post: Héctor E. Guzmán Rodríguez y Ruth Benito Martín.
Con la venia, señorías 
Hola Ruth y Héctor!
Excelente reflexión. Me ha gustado especialmente que destaquéis la adición de la locución conjuntiva con valor condicional «a condición de», que exige un acontecimiento previo para que pueda producirse otro posterior. Considero claro que así es como debe interpretarse el párrafo 1º del 22.2 LSSI.
El que creo que va a dar problemas es el 2º, que al aceptar como consentimiento la configuración expresa de un navegador, permitiría instalar cookies en él sin necesidad si quiera de mostrar un aviso (cosa que sería absoutamente perfecta y prescindiríamos, así, de los molestos avisos inútiles de cookies). Y en caso que el navegador no se haya configurado, aviso al canto y a esperar el consentimiento.
En el procedimiento abierto, cabe la posibilidad de que la AEPD considere que las cookies analíticas (GA, WordPress) son técnicas e imprescindibles para ver la web, como servicio expresamente solicitado por el usuario, haciendo una interpretación retorcida del párrafo 3º. Si fuera así, podríamos decir adios definitivamente a los molestos pop-ups y dejar la advertencia de cookies en el aviso legal, como antes.
Espero que pese la cordura. La ley es ley y debe cumplirse, pero también debe cambiarse. Que se apruebe una ley que no pueda cumplirse es una soberana estulticia. Me amusga.
Hola Pablo y muchísimas gracias por comentar.
Entiendo que es el «a condición de que» unido al «haya dado su consentimiento» lo que impone que se trate de un requisito previo. El «después» hace referencia al momento en que debe ser dado el consentimiento por el usuario, esto es a un momento posterior a haber sido debidamente informado. Con lo que la secuencia lógica es: (1º) informar debidamente para que (2º) el usuario pueda dar un consentimiento válido y (3º) entonces sí se puedan utilizar cookies no exentas.
Sobre el párrafo 2º no puedo estar más de acuerdo contigo. Esto es algo parecido a lo de las C.O. de los mails. La de disgustos que nos ahorraríamos si sencillamente se obligara a los gestores de mail a que por defecto los mensajes a varios destinatarios fueran en C.O.
Pero que muy retorcida esa interpretación sobre la GA. Ten en cuenta lo que el GT29 ha indicado al respecto en su Dictamen 4/2012: «Aunque este instrumento suele ser considerado «estrictamente necesario» para los operadores de sitios web, no es estrictamente necesario para prestar una funcionalidad explícitamente solicitada por el usuario (o abonado). De hecho, cuando estas cookies no están habilitadas, el usuario puede acceder a todas las funcionalidades que ofrece el sitio web. En consecuencia, estas cookies no disfrutan de la exención definida en los CRITERIOS A o B».
E incluso de las cookies de análisis propias lo que yo entiendo que viene a decir es que en una futura posible modificación del precepto, podrían incluirse como exentas aquellas de este tipo que se limiten estrictamente a «fines estadísticos agregados propios» siempre y cuando el sitio web informara claramente sobre ellas y ofreciera garantías adecuadas de privacidad.
Una vez cometida la estulticia el problema es que para que pese la cordura hay que echarle valor y buscarse interpretaciones «graciosas» (para ejemplo la ICO) y veremos si quienes pueden hacerlo están por la labor.
Un saludo.
Y por qué no cambiar la tecnologías del lado del usuario (navegador) o del lado del servidor que gestionan las cookies?
Creo estáis olvidando la derivada del otro lado del charco: Do Not Track.
Es interesante seguir en este sentido el trabajo del Tracking Protection Working Group de W3C
http://www.w3.org/2011/tracking-protection/
http://www.w3.org/2011/tracking-protection/drafts/tracking-dnt.html
Una reflexión al respecto: DNT y norma de cookies no son idénticas, aunque parecidas. Con todos los hispano parlantes de USA no nos sería de aplicación tal norma? O sólo vale argumentar que los de USA tienen que cumplir la Directiva si dirigen los servicios a ciudadanos europeos? ;-p
Pienso también que la opción tomada por el ICO es adecuada, o al menos pragmática. Si bien no obstante como indicáis han dado un cambio en el tiempo, cosa que por cierto explican o argumentan aquí al explicar su propia política de cookies:
http://www.ico.org.uk/news/current_topics/changes-to-cookies-on-our-website
Por cierto, se le suele llamar ley de cookies, pero en realidad es la ley de «dispositivos de almacenamiento» o «dispositivos de acceso a información ya almacenada». Y por ello se han de incluir otras tecnologías en el alcance. Tengo al respecto un post en ciernes para mi reencuentro con la blogosfera desde hace como 1 mes, pero o no me dejan tiempo o cuando me lo dejan no acabo por encontrar la motivación para rematarlo. Eso sí, llegará ;-p
Hola Álvaro, muchas gracias por tu comentario.
No olvidamos la iniciativa Do Not Track, pero, salvo en la finalidad de protección, no veo tanta similitud con la Ley de Cookies. Son dos medios muy distintos de, en teoría, proteger al usuario, uno es ley, la otra de momento una iniciativa, una impone una acción al editor web, la otra al navegador y, en su caso, al usuario, una se refiere a cualquier tipo de cookies o dispositivos de almacenamiento, la otra la entiendo aplicable a las cookies de rastreo… No tienen por qué ser, por tanto, excluyentes la una de la otra.
En mi opinión una normativa DNT sería mucho más efectiva, pues, como le decía a Amedeo Maturo, la Ley de Cookies no tiene sentido:
.- Existen webs, no considerados PSSI a efectos de la LSSI, y respecto a los cuales, por lo tanto, no es exigible esta norma, pero sí contienen diversas cookies de terceros.
.- No podemos aplicarla a webs fuera del territorio EU con plena garantía de una ejecución efectiva. No es sólo que esas webs se dirijan a territorio español, entran en juego reglas de competencia, pero que son reglas unilaterales EU, luego ¿se puede obligar a su aplicabilidad de manera efectiva?
Sí, por supuesto que la norma se refiere a cualquier dispositivo de almacenamiento y recuperación de datos que se alojen en terminales de los usuarios, dentro de los cuales las cookies son sólo un tipo, pero no somos ajenos al nombre que coloquialmente se le ha dado y si en partes del post nos referimos sólo a las cookies es por hacer la lectura más cómoda y comprensible al visitante.
Un saludo.