El TJUE tumba la Directiva de Conservación de Datos

En el día de hoy se ha conocido Sentencia del Tribunal de Justicia de la Unión Europea (que tenéis disponible aquí -en inglés- gracias a Roberto Yanguas), por la que se declara inválida la Directiva 2006/24/EC de Conservación de Datos, que en España fue transpuesta a nuestro ordenamiento jurídico por la Ley 25/2007 de Conservación de Datos.

Entre otras cosas, se le pedía al Tribunal que analizara si la indicada Directiva podía ser contraria a los derechos de libertad de expresión, de privacidad (respeto a la vida privada y familiar) y de protección de datos personales contemplados en la Carta de los Derechos Fundamentales de la Unión Europea (articulos 11, 7 y 8 respectivamente). Llega el Tribunal a la conclusión de que efectivamente podría afectar a tales derechos y suponer una injerencia respecto a los mismos, principalmente en relación con la privacidad y la protección de los datos de carácter personal, llegando incluso a decir que puede ocasionar en los afectados el sentimiento de que sus vidas privadas son objeto de una constante vigilancia.

Sentado lo anterior, analiza la sentencia, cuál es la finalidad u objetivo perseguido por la Directiva sobre Conservación de Datos, entendiendo que lo es la lucha contra delitos graves, en particular contra el terrorismo y el crimen organizado, lo cual debe ser considerado de interés general y procede, por tanto, realizar una ponderación entre dicho interés general y los derechos afectados. Para ello examina si la conservación de los datos tal cual viene contemplada en la Directiva es una medida proporcional o no, en definitiva si se prevé mediante unas determinadas disposiciones y acciones que no excedan los límites necesarios para conseguir la finalidad perseguida.

Y es aquí donde la Sentencia da un verdadero repaso a la Directiva, pues mantiene que no se da la necesaria proporcionalidad y que la finalidad perseguida por la Directiva no justifica por sí misma, sin más criterios, la intromisión en los indicados derechos fundamentales de privacidad y protección de datos personales. A lo que añade, en apoyo a tal estimación, entre otras cosas, que:

1.- La Directiva no exige que exista nexo relacional entre los datos que se han de conservar y una amenaza a la seguridad pública en función, bien del momento o zona geográfica en que se produzcan las comunicaciones, bien de las personas que las realicen.

2.- La Directiva adolece de unos criterios objetivos que pudieran insuflar proporcionalidad en la conservación de datos, sino que al contrario:

  • Habla de “delitos graves” dejando al criterio de cada estado miembro de la UE lo que ha de entenderse por tal (con las consecuencias que, por ejemplo, en España hemos sufrido por ello).
  • No establece los procedimientos y condiciones en que las autoridades nacionales competentes puedan tener acceso a los datos almacenados.
  • No determina si tal acceso debe estar condicionado a la existencia de una previa investigación o procedimiento judicial.
  • Tampoco hace distinción entre las distintas categorías de datos en relación con el período en que deban ser conservados (entre 6 y 24 meses).

3.- Supone, la Directiva, una gran injerencia a los derechos fundamentales antes dichos, si que se condicione a disposiciones que aseguren que tal injerencia estará limitada a lo estrictamente necesario.

4.- Además la Directiva no contempla medidas que garanticen la protección efectiva de los datos personales contra los riesgos de abuso (por parte de quien deba conservarlos) y de acceso ilegal (por parte de terceros), y tampoco asegura la destrucción de los datos al finalizar el plazo de conservación de los mismos.

Por todo ello termina declarando a la Directiva sobre Conservación de Datos inválida y ahora habrá que ver cómo afecta esto a nuestra Ley 25/2007 de Conservación de Datos y qué va a hacer Europa para asegurar una regulación efectiva que persiga el objetivo que se había marcado con dicha Directiva.

En mi opinión, es necesario regular la conservación de ciertos datos relativos a las comunicaciones electrónicas y el acceso a los mismos, no sólo para la investigación de delitos graves, sino de cualquier delito, pues la inmensa mayoría de delitos cometidos a través de la red son difícilmente perseguibles sin tal información. Pero efectivamente, y aunque sea sumamente complejo, tal conservación de datos debe llevarse a cabo con el mayor respeto a la intimidad de las personas. Afortunadamente, aunque es pronto para valorarla con mesura, es posible que la propia sentencia nos de unas pautas que vayan indicando un poco el camino para ello.

La capa de Triky es larga

La actual normativa sobre cookies es absurda y un auténtico cachondeo. Sí. Pero es lo que tenemos. Nos ha tocado bailar con el más feo del baile o jugar al mus con las de alpedrete (el 4, el 5, el 6 y el 7).

triky

Para colmo, uno se lee el texto legal y, vaya, puede parecer “a priori” más o menos sencillo, pero, ¡ojo!, vete después a guías de agencias y dictámenes de Grupos, que nos obligan a ganarnos la vida poco menos que igual que en el circo, haciendo malabarismos y andando por la cuerda floja, como la risa que nos entra, porque, claro, tienes que informar exhaustivamente sobre las cookies -qué son, los tipos, si son tuyas o de terceros, sus finalidades, cómo desactivarlas…- pero has de hacerlo de forma clara que asegure que el usuario medio se queda enterado y bien enterado de algo que, en la mayoría de las ocasiones, ni el editor de la página sabía y le va a requerir un gran esfuerzo aprender.

Como me considero optimista (porque todos lo hacemos aunque luego realmente seamos unos amargados, no por otra razón), me dije a mí misma: “Mimisma, aquí hay que poner un poco de claridad”. Bien, ya quedó expuesto aquí y aquí el momento en el que pueden activarse las cookies, que resumidamente es una vez que el usuario haya consentido su instalación, previo a lo cual ha debido ser informado, y bien informado, sobre las las mismas.

Para cumplir con la actual normativa, entre otros posibles modelos, tenemos:

1.- Un aviso, que se active cuando se acceda a la web, en el que se suministre absolutamente toda la información sobre las cookies y se de la opción al usuario de aceptarlas o no. Esto sería algo así como las ventanitas o menús que nos aparecen cuando nos queremos instalar un software, con los términos  y condiciones, y la casilla o botón de “acepto” que todos pinchamos sin haber leído ni una línea. Paradojas.

2.- El famoso sistema de información en dos capas. Se encuentra detallado en la Guía sobre el Uso de las Cookies de la AEPD, y ha sido comentado en la primera sanción por ella impuesta en la materia. Esquemáticamente, la información que debe contener cada capa sería:

capa1

capa2

Quiero detenerme en este segundo modelo, el de la doble capa, por dos motivos: Me da la sensación de que está siendo el más utilizado y además, aunque aparentemente puede parecer sencillo, me da en la nariz que no lo es tanto.

En la propia guía de la AEPD que he mencionado y enlazado, se nos ofrece un ejemplo de cómo podría ser el aviso correspondiente a la primera de estas capas:

ejemplo_primera_capa_AEPD

Pues bien, en mi opinión, tal aviso resulta algo insuficiente. Veamos las posibilidades que tiene el usuario que se encuentra con esto:

1.- Continuar navegando: en este caso se podrán activar las cookies. Esto sería semejante a pinchar en un botón de “aceptar”, aunque no se haya accedido a toda la información, y entiendo que aquí es el usuario el responsable de tal aceptación. Se le dio la oportunidad de informarse y si él no lo ha hecho no puede responsabilizarse al editor de la web.

Ahora bien requerirá una navegación efectiva, no basta con que el usuario permanezca con la pantalla abierta estática sin mover siquiera el curso (que le puede haber dado un apretoncillo y ha tenido que salir disparado al WC). “En todo caso la mera inactividad del usuario no implica la prestación del consentimiento por sí misma” nos indica la Agencia en su guía.

En este supuesto, se suele dejar transcurrir cierto tiempo, que normalmente va de 10 segundos a 1 minuto, para que las cookies sean activadas, de modo que transcurrido ese tiempo, si el usuario ha continuado navegando de forma efectiva por la web, le serán instaladas las cookies.

2.- Absolutamente nada: Supongamos que le ha dado el apretoncillo… En teoría no podrían instalarse las cookies, que deberían permanecer en suspenso, por lo recién comentado, hasta que el usuario lleve a cabo algún otro tipo de acción.

3.- Pinchar el enlace para cambiar la configuración u obtener más información: ¿Y aquí qué sucede? Porque si entendemos que eso es navegar por la web, podríamos instalar las cookies transcurrido el tiempo que hayamos previsto para ello. Pero, ¿a alguien le da tiempo a leerse toda la información que nos obligan a suministrar sobre las cookies en un minuto? ¡Y encima entenderla! Menos aun en 10 segundos, ¿verdad?

De modo que si aplicamos la regla del punto nº 1 ante esta acción del usuario, le habremos “metido” las cookies en su dispositivo sin haberle dado la oportunidad de haberse informado debidamente cuando dicho usuario sí ha querido obtener tal información. Y esto, siguiendo los criterios de la Agencia, entiendo sería sancionable, pues no puede entenderse que haya habido consentimiento válido.

En mi opinión, en este último supuesto, se debería dejar en suspenso la instalación de las cookies y, bien al inicio del texto informativo de la segunda capa, bien al final, o incluso en ambas posiciones, volver a dar la oportunidad al usuario de aceptar (tanto pinchando en un botón de aceptar como si sale de esa capa sin haber pinchado el botón rechazar) como de rechazar la instalación de las cookies.

Divertido, ¿verdad?

No dejo de preguntarme en qué estaría pensando el legislador europeo…  Entiendo que al usuario hay que protegerlo y soy la primera en defender tal protección, pero lamentablemente suele ocurrir que se legisla sin tener en cuenta las consecuencias prácticas que se pueden derivar.  En este caso, además, resulta sangrante, ya que ese usuario al que los prestadores europeos van a proteger y evitar que se le instalen cookies sin su información previa y consecuente consentimiento, ése, no va a dejar de visitar multitud de páginas web a la que no resulta de aplicación la normativa sobre cookies y, por lo tanto, éstas continuarán instalándose en sus dispositivos.

Para terminar, les dejo el esquema de lo que, en mi opinión, se puede o no hacer en función de la acción elegida por el usuario en o tras el aviso que constituye la primera capa de información:

esquema_opciones_acciones

* Siempre que se haya avisado en la primera capa de que el acto de continuar navegando se entenderá como aceptación.

Foto y esquemas: Ruth Benito Martín

PD: No. Este blog no cumple estrictamente con la actual normativa de cookies. Primera y fundamental razón: no considero que estemos ante un prestador de servicios de la sociedad de la información, a pesar de que por los textos contenidos en algunas de sus páginas así pudiera entenderse (¿qué quieren?, finalmente no sería yo quien decidiera si se me ha de colgar tal etiqueta, así que al menos cumplir con lo que se pueda). Segunda razón: al parecer (carezco los conocimientos técnicos para asegurarlo), esta versión de wordpress no admite la instalación de pluggin alguno para ello, y como consecuencia no puedo paralizar la activación de las cookies de Automaticc Inc (wordpress) hasta obtener consentimiento del usuario. No obstante, si alguien tiene cualquier sugerencia o solución, le agradeceré enormemente me la haga llegar (abogada[arroba]ruthbenito.com).

Impresiones y recursos sobre el ciclo de charlas sobre menores y web 3.0

20131204_adolescencia_rrssEn el mes de septiembre fui invitada por el I.E.S. Andrés Laguna de Segovia, a cuya Dirección agradezco que contaran conmigo para ello, a participar en su programa TIC con una serie de charlas para los alumnos del centro sobre implicaciones legales del uso, o mejor dicho, ciertos usos de las redes sociales y smartphones. Mis seguidores de Twitter, Facebook y Linkedin estarán al corriente de estas sesiones, pues quizá me he puesto un poquito pesada con el tema, pero es que me parece muy loable este tipo de iniciativas desde los centros de educación.

Además tuvieron el acierto de extender el programa a padres y profesores, mediante una última ponencia, que tuvo lugar el pasado día 4 de diciembre y de la que adjunto a continuación la presentación que sirvió como apoyo ilustrativo:

Creo que esta última charla tuvo gran acogida, a juzgar por el número de asistentes. De este dato, así como de los comentarios y las diversas preguntas que se sucedieron tras mi exposición (ese debate final es siempre lo más interesante), deduzco que el tema preocupa, y no poco, tanto a padres como a profesores. Y es que, tal y como manifesté allí, nos ha tocado vivir el período de adaptación a estas nuevas tecnologías que constituyen la llamada web 3.0, y respecto a las cuales aún no sabemos muy bien, ni siquiera los adultos, cómo manejarlas y cuáles pueden ser sus implicaciones. Tampoco creo ser muy temeraria si digo que a buen seguro a muchos padres serán sus hijos quienes les enseñen a configurar su privacidad en Facebook.

Aunque con un enfoque distinto, tanto en las conferencias a los chavales, como en la dirigida a padres y profesores, se trataron cuestiones relativas a la propia privacidad y la de los demás, posibles conductas delictivas, responsabilidad de los menores y de los padres y herramientas para informarse y para protegerse.

No me llamó la atención que la inmensa mayoría de los chicos, de entre 12 y 14 años, tuvieran smartphone, cuenta en varias redes sociales y el whatsapp ardiendo. En cambio, al preguntar a los padres, fueron muchas menos las manos que se alzaron. En general los chavales conocen bien el funcionamiento de las redes sociales (por ejemplo, contestaron acertadamente a las preguntas del juego simulador de privacidad de tuenti) y fueron varios los que expusieron supuestos en los que un “primo” o una “amiga” había sido sujeto pasivo, e incluso activo, de alguna acción ilícita cometida a través de estos medios electrónicos.

También se comentaron diversos casos por parte de los padres y profesores. Imagino que lo que más les preocupará será el cyberbullying y el grooming, si bien, quizá por verlo como algo más probable de que les pueda suceder a sus hijos, muchas de las preguntas giraron en torno a cuestiones tales como el uso y/o divulgación de imágenes o vídeos por parte de las escuelas o institutos, como el comentado aquí, como sobre todo la difusión por parte de los propios menores de material íntimo respecto a sí mismos y a terceras personas (lo que, por otra parte, puede ser una manifestación más del cyberbullying).

Por último, no tengo datos suficientes para saber si estos adolescentes entendieron bien las consecuencias legales que se pueden derivar de ciertos actos, pero, tras hablarles sobre la Sentencia de la Audiencia Nacional que avala el acceso por parte de un colegio al teléfono móvil de un menor si su consentimiento, bien que comentó alguno “¡Anda, y ¿nuestra privacidad?” Y, ¿qué quieren que les diga?, no le falta razón.

Les dejo enlaces a vídeos y sitios web de interés que fueron expuestos o citados en estas charlas, así como la presentación para los alumnos:

Vídeos:

.- “Sexting, no lo provoques

.- “Redes sociales y privacidad. Cuida lo que publicas sobre los demás

.- “¿Tienes privacidad de verdad en las redes sociales?

Páginas web:

.- www.menores.osi.es

.- www.pantallasamigas.net

.- www.tudecideseninternet.es

.- www.cyberbullying.com

.- www.inteco.es

Un “que si que, que no que” sobre las #cookies

En el día de ayer tuve ocasión de leer una noticia de la Interactive Advertising Bureau de España (IAB Spain) respecto a la aplicación de la normativa sobre cookies en la que se recogen algunos interesantes aspectos prácticos sobre el cumplimiento de dicha normativa.

Vaya por delante que me gustaría que su interpretación fuera la que acogieran nuestras autoridades y tribunales (llegado el caso), muy en la línea de lo que concluía Héctor Guzmán en la anterior entrada de este blog y en concordancia también con la postura que parece haber adoptado la ICO (equivalente a nuestra AEPD en el Reino Unido), y es que resulta mucho más coherente con la realidad del funcionamiento de Internet.

Sin embargo, no puedo dejar pasar dos cuestiones:

1.- Se indica en la noticia que el criterio recogido por la AEPD en la Guía sobre el uso de las Cookies respecto al momento de instalación de las mismas “deja cierto margen de interpretación sobre las diferentes formas de prestar el consentimiento y el momento de instalación de las cookies”. Coincido con respecto a las diferentes formas de prestar el consentimiento, no así respecto al momento de instalación de las cookies. En concreto la mencionada Guía, en cuya elaboración ha sido parte activa, entre otros, la propia IAB Spain, en su apartado IV “Cuándo pueden instalarse las cookies,” indica (y transcribo íntegramente dicho apartado, si bien la negrita es mía):

Respecto al momento en el que hay que obtener el consentimiento para la instalación de la cookie debe recordarse que el artículo 22 de la LSSI señala que:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

En consecuencia, la instalación de la cookie podrá tener lugar cuando el usuario disponga de la información preceptiva sobre las cookies y la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos indicados. En este sentido, la instalación de las cookies debería ir acompañada por un consentimiento informado de los usuarios para tal instalación, de forma que los destinatarios tengan la oportunidad de examinar la información y decidir si permiten o no la implantación de estos dispositivos”.

En mi opinión la AEPD aquí no hace sino remitirse a la ley, cuyo tenor literal y cuyo espíritu ya expliqué que, en mi opinión, exigen (absurdamente) que el usuario preste su consentimiento para la instalación de las cookies en un momento anterior a que tal instalación se produzca, criterio éste que además  ha sido acogido por el Grupo de Trabajo del Art. 29.

E incluso el último párrafo transcrito así pareciera entenderlo también, si tomamos ese “cuando el usuario disponga” por un “una vez el usuario disponga”, y en todo caso se dice claramente que “la instalación de cookies debería ir acompañada por un consentimiento informado de los usuarios para tal instalación”, de lo que infiero que en ningún caso el consentimiento puede ser obtenido en un momento posterior a la instalación de estos dispositivos. Todo ello con independencia de la concreta forma en que se obtenga dicho consentimiento.

Me alegra, no obstante, la apreciación de la IAB Spain respecto a la sensibilidad supuestamente mostrada por la AEPD, por venir de quienes han dedicado muchas horas de trabajo y conversaciones con la Agencia al respecto, pero yo no veo una línea de defensa fuerte en este punto si finalmente la autoridad se posiciona claramente a favor del requisito del consentimiento previo.

Más dudas me plantea la segunda cuestión que quiero abordar.

2.- Indica la noticia, en su punto 4, que la actual redacción de la LSSI, no prevé como infracción, y por lo tanto no puede sancionarse, el hecho de no obtener el consentimiento del usuario, sino únicamente el incumplimiento de la obligación de informar. Algo que ya adelantó David González Calleja en su blog.

¿Esto qué es? ¿El principio de accountability llevado a su máxima expresión (queremos ser más papas que el papa e incluso que Europa)  o hacer un pan como unas tortas? Bueno, aquí en España muy posiblemente la primera opción se traduzca en la segunda…

Pero, como digo, este punto me suscita más interrogantes. Lo que dice la IAB Spain es lo que entendí yo en una primera lectura, tras la modificación del art. 22.2 relativo a las cookies, del art. 38.3 i) y 38.4 g) LSSI referente a las infracciones respecto a dicho precepto.

Art. 38.3 i) LSSI:

3. Son infracciones graves:

(…)

i) El incumplimiento significativo de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.

El apartado 4 del art. 38 recoge como infracción leve el mismo supuesto cuando, por no ser significativo, no constituya infracción grave y viene redactado, a los efectos que aquí importan, en los mismos términos.

¿Existe o no, por lo tanto, tipicidad sobre la conducta de no recabar el consentimiento del usuario como infracción? Es cierto que no se recoge explícitamente, haciendo mención expresa de tal conducta concreta como infracción sancionable, pero ¿es preciso que conste así en la norma para poder decir que constituye infracción?

Nuestro Tribunal Constitucional entiende que se vulnera el principio de legalidad y de taxatividad de la norma cuando al aplicar ésta se carece “de tal modo de razonabilidad que resulte imprevisible para sus destinatarios, sea por apartamiento del tenor literal del precepto, sea por la utilización de pautas valorativas extravagantes en relación con el ordenamiento constitucional, sea por el empleo de modelos de interpretación no aceptados por la comunidad jurídica” (SSTC 185/2000 y 125/2001). En definitiva, y muy resumidamente, si estuviéramos ante un supuesto que, no mencionándose expresamente como infracción, no se espera que sea sancionado, podríamos decir que se vulneraría el principio de tipicidad y por lo tanto cabría anular la sanción. Pero ¿realmente nos sorprendería que nos sancionaran por no haber recabado el consentimiento del afectado para la instalación de las cookies cuando precisamente lo que pretende garantizar la modificación introducida es que el usuario pueda decidir si acepta o no dicha instalación y, en su caso, el tratamiento de sus datos?

Por otra parte, del sentido literal de los apartados 3 i) y 4 g) del art. 38 LSSI, podemos interpretar que las obligaciones que hay que cumplir son, de un lado la de información y de otro la de establecer un procedimiento de rechazo, ambas con arreglo a lo dispuesto en el art. 22.2. Podríamos entender que dicho procedimiento, con respecto a las cookies no exentas y muy resumidamente, consiste en los siguientes pasos y en dicho orden:

1º Informar al usuario, de forma clara y accesible, sobre las cookies que se van a utilizar.

2º Establecer un mecanismo adecuado para recabar el consentimiento del afectado (no entraré aquí a valorar cómo).

3º Si el usuario consiente, se podrán instalar las cookies.

En consecuencia, siguiendo esta argumentación, sí sería infracción, y por lo tanto sancionable, el no haber obtenido correctamente el consentimiento del usuario para la instalación de cookies no exentas. Ello siempre y cuando entendiéramos, como digo, que disponer de un mecanismo para obtener dicho consentimiento forma parte del procedimiento de rechazo al que se refiere el art. 38 y realmente se estuvieran recabando datos de carácter personal y esto, como muchos imaginarán, puede traer larga cola.

¡Me añusgo con las cookies! #DebateAbiertoCon @HectorGuzmanMx

Ruth: Hola Héctor,  ¿te enteraste de que la AEPD ha iniciado un expediente sancionador contra una empresa porque, aunque informa a los usuarios a efectos de obtener su consentimiento para la instalación de cookies, éstas ya se encuentran instaladas con anterioridad? Puedes leer al respecto en el blog de Pablo Fernández Burgueño, que ha escrito sobre ello y sabe bien de lo que escribe.

meañusgo

Héctor: Sí, he leído el blog y de nuevo me vienen a la cabeza antiguas dudas, por no hablar de mi posición en relación con la interpretación sobre el “consentimiento previo” a la instalación de las cookies y la posibilidad efectiva de poder cumplir con esa obligación en lo general.

Porque, a día de hoy, se sigue sosteniendo que dicho consentimiento debe ser previo, ¿verdad?

Ruth: Tal y como yo lo entiendo, . Intentaré resumirte los motivos por los que así lo creo:

1.- Por la literalidad de la norma: Tanto la Directiva como la LSSI indican que este tipo de dispositivos podrán utilizarse “a condición de que” el usuario “haya dado su consentimiento”

Actual Art. 5.3 de la Directiva 2002/58/CE:

«3. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario».

Art. 22.2 1er párrafo de la LSSI:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

Es decir, no se expresa que podrán utilizarse “a condición de que el usuario otorgue su consentimiento” o “a condición de que se le de la opción de que lo pueda dar”, sino de que ya lo haya dado al momento de instalarse las cookies.

2.-  Por el espíritu de la Ley: Entiendo que lo que se persigue es proteger al usuario frente a posibles técnicas intrusivas e instalación en sus dispositivos de elementos no deseados (algo así como tener que pedir permiso antes de instalar un sensor de movimiento en casa ajena y no meterlo a hurtadillas por la ventana), así como frente a un posible tratamiento de sus datos personales, y desde esta óptica es más que razonable que el consentimiento del usuario deba ser previo. De lo contrario la normativa no cumpliría su finalidad, carecería de efectividad, pues si se permitiera el consentimiento “a posteriori”, desde que una persona se accede a un sitio web en el que se utilizan cookies hasta que el usuario opta por dar o no su consentimiento, ya se le habría instalado una cookie y ésta, dependiendo de su función, podría haber transmitido cierta información (entre la que podrían llegar a encontrarse datos personales) desde el dispositivo del usuario.

Si nos vamos, además, al Considerando 66 de la Directiva 2009/136/CE por la que se modifica la Directiva 2002/58/CE sobre la Privacidad y las Comunicaciones Electrónicas, veremos que habla de que el usuario debe poder ejercer su derecho de negativa a que se le instalen este tipo de dispositivos y es claro que si, nada más acceder a un sitio web, ya se encuentran operativos, se le está impidiendo tal derecho, incluso aunque sólo sea por un breve lapso de tiempo.

3.- Así lo ha interpretado el Grupo de Trabajo del Art. 29 en su Dictamen 15/2011, donde entiende que aunque la norma no emplee la palabra “previamente”, así se deduce lógicamente del texto de la Directiva.

Es de sentido común que el consentimiento ha de obtenerse «previamente» al inicio del tratamiento de datos. De otra forma, el tratamiento que se realizara durante el tiempo comprendido entre el momento en que comienza el tratamiento y el momento en que se obtiene el consentimiento sería ilegal por falta de base jurídica”.

De modo que el esquema de tiempos sería el siguiente:

meañusgoesquema

Ahora bien, que esta sea mi conclusión, no significa que no sea consciente de lo kafkianas que pueden ser ciertas situaciones. Y es que estoy de acuerdo con Amedeo Maturo cuando dice que esto se debe a un ataque de “lopdismo”. Así, sólo por poner un ejemplo, me pregunto cómo pueden cumplir los propietarios de sitios web creados gracias a las plantillas de wordpress (como este blog), por ejemplo, que vienen con sus cookies ya instaladas. Hay quienes dicen que existen plugins para cumplir con la Ley de Cookies, pero, al parecer, no aportan plena garantía de cumplimiento. De hecho en el propio post enlazado se avisa al final de que la mayoría de los plugins enumerados no bloquean las cookies, y por tanto no se estaría cumpliendo estrictamente la ley. Y yo misma, a día de hoy, no estoy muy segura de cuál elegir.

En definitiva, hay multitud de posibles prestadores de servicios de la sociedad de la información (y digo posibles porque un debate previo necesariamente debe ser a quién se considera prestador de servicios con arreglo a la LSSI, que es otra cuestión muy divertida), que no obtiene un beneficio económico, o al menos no directo, a través de sus sitios web a quienes se está exigiendo, bien unos conocimientos técnicos muy elevados -para saber qué es una cookie, cómo funciona, cuáles emplea en su sitio web y cómo bloquearlas hasta que, en su caso, el usuario consienta su instalación-, bien un desembolso económico para que otros lo hagan por él, a quienes no saldrá rentable la cuenta. Todo ello con la posibilidad de que el día de mañana, si no se ha inventado ya, aparezcan posibles sistemas de rastreo, que instalen terceros, que pasen inadvertidos para los bloqueadores elegidos por el editor del sitio web.

¿Se han ponderado debidamente los intereses en juego?

Héctor: Pues te voy a decir algo, muy a título personal, sobre el mentado “consentimiento previo”: Creo que tanto la Directiva sobre privacidad y comunicaciones electrónicas como la LSSI, en relación con este tema, se han ido por donde no, se han pasado de proteccionistas y han establecido una obligación que raya en lo imposible de cumplir (con la inseguridad jurídica que ello conlleva, precisamente, en la sociedad de la información).

Y es que, en el estado actual de las cosas, ¿existe algún sitio web que, debiendo cumplir con la LSSI, recabe el consentimiento del usuario ANTES de que cualquier cookie no exenta del consentimiento le haya sido instalada en su equipo?

De verdad, para cumplir con “la letra” de la ley, que, ahora con todo lo que me has dicho la entiendo mejor, ¿debe un prestador de servicios detener, poner en pausa, la instalación de cookies, hasta no haber obtenido el consentimiento del usuario? ¡Pero si no estamos hablando de un formulario! Así entiendo por qué Amedeo habla de ataque de lopdismo.

Por comparar posiciones y disposiciones que conozco, me viene a la cabeza lo que la Information Comissioner’s Office del Reino Unido (ICO) ha dicho en relación con el consentimiento previo en su Guía sobre el uso de cookies (EN).

Palabras más, palabras menos, la ICO ha reconocido que es difícil esgrimir un buen argumento para sostener que el consentimiento para la realización de una acción pueda obtenerse válidamente después de que dicha acción ya ha ocurrido. Reconoce además que esa no es la forma generalmente aceptada para obtener el consentimiento en otras áreas, y que eso no es lo que los usuarios esperarían al respecto.

Un poco aventurado decir eso en estos tiempos, pues adivinar o anticipar lo que los usuarios esperan de su visita a un sitio web puede diferir mucho en función del tipo de usuario de que se trate, pero digamos que es verdad, que los usuarios en general esperan ser debida y anticipadamente advertidos de que la visita a un sitio web conlleva la instalación de cookies en sus equipos.

En todo caso, lo que quiero resaltar es que a renglón seguido se indica que el Comisionado de Información reconoce, SIN EMBARGO, que actualmente muchos sitios web instalan las cookies tan pronto como el usuario accede al sitio. Reconoce además que esta situación dificulta la obtención del consentimiento antes de que las cookies sean instaladas.

En este escenario, la Guía ICO sobre el uso de las cookies indica que siempre que sea posible, deberá retrasarse la instalación de las cookies hasta que el usuario haya tenido la oportunidad de entender qué cookies son las que están siendo utilizadas y haya podido realizar su elección.

Pero más aún, en la Guía se indica que cuando esto no sea posible (o sea, retrasar la instalación de las cookies), los “sitios web” deberán ser capaces de demostrar que están haciendo todo lo posible para reducir el plazo de tiempo anterior al momento en que los usuarios reciben la información sobre las cookies y se les ofrecen opciones al respecto. Y cierra estas consideraciones diciendo que un punto clave al respecto, es asegurar que la información que se proporciona no sólo es clara y comprensible, sino además fácilmente disponible.

Así que, aún sin comprometer demasiado su criterio, en esa Guía la ICO al menos reconoce cómo operan “muchos sitios web” y la dificultad que conlleva cumplir con el “consentimiento previo”.

Para mí está claro que la ICO trata de desenredar el nudo, haciendo malabares con lo que tiene a la mano, pues no puede quitarse de encima el hecho de que el consentimiento debe ser “previo”, aclarado sin lugar a dudas por el GT29, como ya lo has mencionado.

Por otro lado, (y como podrás imaginar) no puedo dejar de mencionar la forma en que se regula la instalación de cookies en México.

Para empezar, el tema no se aborda en relación con la prestación de servicios de la sociedad de la información, sino a través de la normativa sobre protección de datos personales y, de forma particular, en relación con la solicitud y obtención del consentimiento.

Por un lado, el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (sí, así se llama, no me culpes a mí) estable en su artículo 14 (Solicitud del consentimiento tácito):

Cuando el responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar“.

Los Lineamientos del Aviso de Privacidad que entraron en vigor en México hace poco (abril de 2013) repiten lo anteriormente dicho, pero clarifican el cómo:

Uso de cookies, web beacons u otras tecnologías similares

Trigésimo primero. En términos del artículo 14, último párrafo del Reglamento de la Ley, cuando el responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos personales, así como la forma en que se podrán deshabilitar, esto último salvo que dichas tecnologías sean necesarias por motivos técnicos.

 Asimismo, el responsable deberá incluir en el aviso de privacidad la información a la que refiere el artículo 14 del Reglamento de la Ley y aquélla que deba ser informada en los términos de los presentes Lineamientos, entre ella, los datos personales que se recaban y las finalidades del tratamiento.

Pareciera poca cosa, pero creo que al menos podemos decir que estas disposiciones regulan la situación de forma un poco más acorde con la realidad. Vamos, que llevado a lo que estamos hablando, se reconoce que (algunas) cookies permiten recabar datos personales al tiempo que el titular hace contacto con un sitio web y que debe ser en ese momento cuando el responsable debe cumplir con el principio de información.

El consentimiento se obtendría si el usuario sigue usando el sitio después de haber recibido la información, no antes ni después de acceder al mismo, sino en el momento de hacerlo. Regularlo de otra forma te va a llevar a la situación (absurda) de la que estamos hablando, dará pie a “n” mil explicaciones sobre el estado actual de la tecnología y a concluir lo que el ala más radical sostiene —  Es lo que “dice” la ley  –, aunque después no haya prestador de servicios promedio que pueda cumplir con la exigencia legal.

Yo creo que el tema es mucho más amplio que el simple momento en el cual se obtiene el consentimiento, sino que abarca además los intereses jurídicos protegidos, las medidas adoptadas por los prestadores de servicios para informar a los usuarios, la tecnología utilizada en el sitio web, si éste está montado sobre una plataforma proporcionada a su vez por un prestador de servicios (típico caso de los blogs), quién instala o decide sobre el tipo de cookies a instalar, la finalidad que se persigue con la instalación de las cookies y demás aspectos teleológicos.

Luego, analizado lo anterior, ya podrá decirse si estamos frente a un “sucio infractor” o frente a una persona que ha hecho todo lo posible para cumplir con la letra y el espíritu de la normativa, dentro de todo aquello que “humana, técnicamente y de buena fe” le ha sido posible hacer.

Conclusión…

meañusgo01

Autores del post: Héctor E. Guzmán Rodríguez y Ruth Benito Martín.

Dropshipping, ¿lo hago bien? Brevísima referencia a ciertas cuestiones legales.

Observo que últimamente se está poniendo muy de moda el denominado dropshipping, un sistema de e-commerce que aparentemente proporciona grandes ventajas al minorista o dueño de la tienda on-line, tales como evitar el riesgo del stock y poder dedicarse de lleno a la venta, puesto que quien almacena los productos y gestiona su envío y entrega al cliente final lo es el dropshipper.

20130815-020856.jpg

Es cuestionable si este tipo de e-commerce resulta efectivamente rentable para el minorista o no, sobre todo si el dueño del comercio on-line opta por descargar directamente una de las plantillas de tienda on-line del propio dropshipper, pues esto le limita más aún la elección de los productos a poner en venta así como las capacidades de SEO. Además, en mi opinión, en este tipo de dropshipment resultan difusos los contornos del negocio jurídico que verdaderamente subyace, pues ¿quién es realmente el proveedor de quién?

En todo caso, el titular de la tienda virtual lo es el minorista y será éste el responsable de cumplir con los requisitos y obligaciones que en relación con el comercio electrónico la legislación vigente le imponen (LSSI, Ley de Ordenación del Comercio Minorista, normativa sectorial, etc). Así pues, entre otras cuestiones deberá facilitar al cliente una serie de información previa al proceso de compra (sobre su identidad, características del producto, precios impuestos y gastos de envío, y otras), prever el derecho de desistimiento del usuario y facilitar junto con el producto otra serie de información (resolución del contrato, dónde se pueden presentar reclamaciones, servicio post venta y garantías…). Por supuesto también deberá observar los aspectos legales sobre la utilización de cookies.

Por otra parte el dueño de la base de datos de los clientes lo es la tienda virtual, lo que le convierte en responsable de un fichero de datos de carácter personal y como tal debe observar igualmente una serie de obligaciones (deber de información, mantener la calidad de los datos, inscribir el/los correspondiente/s fichero/s, asegurar al afectado el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición e informarle sobre cómo puede ejercitarlos, adoptar las oportunas medidas de seguridad…). Y, al entregarle el minorista los datos de los pedidos necesarios para la posterior distribución de los productos, el proveedor de dropshipping se convierte en encargado del tratamiento de los datos de los clientes del minorista, con lo que entre ambos debe haberse suscrito un contrato donde se contemple lo dispuesto en el artículo 12 de la LOPD.

A nadie se le escapará, por tanto, que deben fijarse muy bien los compromisos y la coordinación entre el minorista y el dropshipper, y que el sistema elegido permita a aquel incorporar todos los elementos y textos necesarios en relación con lo expuesto en este post para que pueda transmitir verdadera confianza al internauta, cumplir con cuantas obligaciones le exige la normativa y no estar expuesto al riesgo de elevadas sanciones.

Ojo con el uso de Dropbox y similares por empresas y profesionales

Artículo publicado en http://www.queaprendemoshoy.com

En los últimos años el uso de servicios de almacenamiento en la nube, tales como Dropbox, Google Drive y similares, ha proliferado en gran medida y hoy en día son muchos los que, debido a sus múltiples ventajas, los aconsejan tanto para particulares, en su ámbito doméstico, como para empresas o profesionales. Sin embargo en este último supuesto se ha de tener especial cuidado con… (seguir leyendo)