Un “que si que, que no que” sobre las #cookies

En el día de ayer tuve ocasión de leer una noticia de la Interactive Advertising Bureau de España (IAB Spain) respecto a la aplicación de la normativa sobre cookies en la que se recogen algunos interesantes aspectos prácticos sobre el cumplimiento de dicha normativa.

Vaya por delante que me gustaría que su interpretación fuera la que acogieran nuestras autoridades y tribunales (llegado el caso), muy en la línea de lo que concluía Héctor Guzmán en la anterior entrada de este blog y en concordancia también con la postura que parece haber adoptado la ICO (equivalente a nuestra AEPD en el Reino Unido), y es que resulta mucho más coherente con la realidad del funcionamiento de Internet.

Sin embargo, no puedo dejar pasar dos cuestiones:

1.- Se indica en la noticia que el criterio recogido por la AEPD en la Guía sobre el uso de las Cookies respecto al momento de instalación de las mismas “deja cierto margen de interpretación sobre las diferentes formas de prestar el consentimiento y el momento de instalación de las cookies”. Coincido con respecto a las diferentes formas de prestar el consentimiento, no así respecto al momento de instalación de las cookies. En concreto la mencionada Guía, en cuya elaboración ha sido parte activa, entre otros, la propia IAB Spain, en su apartado IV “Cuándo pueden instalarse las cookies,” indica (y transcribo íntegramente dicho apartado, si bien la negrita es mía):

Respecto al momento en el que hay que obtener el consentimiento para la instalación de la cookie debe recordarse que el artículo 22 de la LSSI señala que:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

En consecuencia, la instalación de la cookie podrá tener lugar cuando el usuario disponga de la información preceptiva sobre las cookies y la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos indicados. En este sentido, la instalación de las cookies debería ir acompañada por un consentimiento informado de los usuarios para tal instalación, de forma que los destinatarios tengan la oportunidad de examinar la información y decidir si permiten o no la implantación de estos dispositivos”.

En mi opinión la AEPD aquí no hace sino remitirse a la ley, cuyo tenor literal y cuyo espíritu ya expliqué que, en mi opinión, exigen (absurdamente) que el usuario preste su consentimiento para la instalación de las cookies en un momento anterior a que tal instalación se produzca, criterio éste que además  ha sido acogido por el Grupo de Trabajo del Art. 29.

E incluso el último párrafo transcrito así pareciera entenderlo también, si tomamos ese “cuando el usuario disponga” por un “una vez el usuario disponga”, y en todo caso se dice claramente que “la instalación de cookies debería ir acompañada por un consentimiento informado de los usuarios para tal instalación”, de lo que infiero que en ningún caso el consentimiento puede ser obtenido en un momento posterior a la instalación de estos dispositivos. Todo ello con independencia de la concreta forma en que se obtenga dicho consentimiento.

Me alegra, no obstante, la apreciación de la IAB Spain respecto a la sensibilidad supuestamente mostrada por la AEPD, por venir de quienes han dedicado muchas horas de trabajo y conversaciones con la Agencia al respecto, pero yo no veo una línea de defensa fuerte en este punto si finalmente la autoridad se posiciona claramente a favor del requisito del consentimiento previo.

Más dudas me plantea la segunda cuestión que quiero abordar.

2.- Indica la noticia, en su punto 4, que la actual redacción de la LSSI, no prevé como infracción, y por lo tanto no puede sancionarse, el hecho de no obtener el consentimiento del usuario, sino únicamente el incumplimiento de la obligación de informar. Algo que ya adelantó David González Calleja en su blog.

¿Esto qué es? ¿El principio de accountability llevado a su máxima expresión (queremos ser más papas que el papa e incluso que Europa)  o hacer un pan como unas tortas? Bueno, aquí en España muy posiblemente la primera opción se traduzca en la segunda…

Pero, como digo, este punto me suscita más interrogantes. Lo que dice la IAB Spain es lo que entendí yo en una primera lectura, tras la modificación del art. 22.2 relativo a las cookies, del art. 38.3 i) y 38.4 g) LSSI referente a las infracciones respecto a dicho precepto.

Art. 38.3 i) LSSI:

3. Son infracciones graves:

(…)

i) El incumplimiento significativo de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.

El apartado 4 del art. 38 recoge como infracción leve el mismo supuesto cuando, por no ser significativo, no constituya infracción grave y viene redactado, a los efectos que aquí importan, en los mismos términos.

¿Existe o no, por lo tanto, tipicidad sobre la conducta de no recabar el consentimiento del usuario como infracción? Es cierto que no se recoge explícitamente, haciendo mención expresa de tal conducta concreta como infracción sancionable, pero ¿es preciso que conste así en la norma para poder decir que constituye infracción?

Nuestro Tribunal Constitucional entiende que se vulnera el principio de legalidad y de taxatividad de la norma cuando al aplicar ésta se carece “de tal modo de razonabilidad que resulte imprevisible para sus destinatarios, sea por apartamiento del tenor literal del precepto, sea por la utilización de pautas valorativas extravagantes en relación con el ordenamiento constitucional, sea por el empleo de modelos de interpretación no aceptados por la comunidad jurídica” (SSTC 185/2000 y 125/2001). En definitiva, y muy resumidamente, si estuviéramos ante un supuesto que, no mencionándose expresamente como infracción, no se espera que sea sancionado, podríamos decir que se vulneraría el principio de tipicidad y por lo tanto cabría anular la sanción. Pero ¿realmente nos sorprendería que nos sancionaran por no haber recabado el consentimiento del afectado para la instalación de las cookies cuando precisamente lo que pretende garantizar la modificación introducida es que el usuario pueda decidir si acepta o no dicha instalación y, en su caso, el tratamiento de sus datos?

Por otra parte, del sentido literal de los apartados 3 i) y 4 g) del art. 38 LSSI, podemos interpretar que las obligaciones que hay que cumplir son, de un lado la de información y de otro la de establecer un procedimiento de rechazo, ambas con arreglo a lo dispuesto en el art. 22.2. Podríamos entender que dicho procedimiento, con respecto a las cookies no exentas y muy resumidamente, consiste en los siguientes pasos y en dicho orden:

1º Informar al usuario, de forma clara y accesible, sobre las cookies que se van a utilizar.

2º Establecer un mecanismo adecuado para recabar el consentimiento del afectado (no entraré aquí a valorar cómo).

3º Si el usuario consiente, se podrán instalar las cookies.

En consecuencia, siguiendo esta argumentación, sí sería infracción, y por lo tanto sancionable, el no haber obtenido correctamente el consentimiento del usuario para la instalación de cookies no exentas. Ello siempre y cuando entendiéramos, como digo, que disponer de un mecanismo para obtener dicho consentimiento forma parte del procedimiento de rechazo al que se refiere el art. 38 y realmente se estuvieran recabando datos de carácter personal y esto, como muchos imaginarán, puede traer larga cola.