Artículo de Ricard Boned
A pocos les sorprenderá ya la noticia de la que recientemente se hacían eco los medios y profesionales especializados, sobre la primera sanción impuesta por la Agencia Española de Protección de Datos (en adelante AEPD) a dos compañías del mismo grupo empresarial por el incumplimiento de sus obligaciones relacionadas con la utilización de cookies.
En concreto la sanción fue por una infracción del artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, tipificada como leve por el artículo 38.4.g) de la referida normativa, y que puede acarrear sanciones de hasta 30.000 euros.
Se consideraron atenuantes: a) la ausencia de intencionalidad al haber adoptado medidas correctoras tan pronto las compañías conocieron la irregularidad; y porque b) no obtuvieron beneficios por la infracción descrita.
Aunque de inicio esta resolución parecía que iba a dar carpetazo a los problemas y dificultades interpretativas con las que las empresas se habían encontrado a la hora de cumplir con la normativa, lo cierto es que no ha hecho más que avivar el debate aparentemente superado sobre una regulación cuyo correcto cumplimiento parece más que confuso.
En la actualidad ya nadie duda sobre la necesidad de habilitar en las webs un sistema por capas que permita dar cumplimiento a las obligaciones dispuestas en la normativa, tal y como se nos recomendaba en la bien conocida Guía sobre Cookies. Ahora bien, no hay que olvidar que están exentas del cumplimento de estas obligaciones las cookies que sirvan únicamente para permitir la comunicación entre el equipo del usuario y la red, así como las que sean necesarias para ofrecer un servicio de la sociedad de la información expresamente solicitado por el usuario (ej. las cookies necesarias para el funcionamiento del carrito de la compra, o las utilizadas para mantener actualizados los precios de una web). De ahí que sea imprescindible un análisis previo eficaz, ya no sólo para determinar el contenido de las capas, sino para determinar si realmente es necesario habilitar un sistema de este tipo.
El principal problema es que tras esta pionera resolución se han abierto nuevas brechas respecto a la aplicación efectiva de esos criterios, ya no tanto por su forma (sistema de capas), sino por su contenido. Y más aún cuando comprobamos el detalle sobre cookies que incluía esa segunda capa utilizada por las compañías sancionadas, y de la que la AEPD entendió que “no precisa con suficiente claridad si la tipología de cookies incluidas en el documento se corresponde con las realmente utilizadas en los sitios web de dichas sociedades y con las finalidades descritas en las mismas”.
La AEPD consideró acreditada la instalación y utilización de cookies sin haber facilitado a los usuarios, previamente (aunque en teoría y por motivos técnicos el criterio aceptado es que la información se facilite de forma simultánea a la instalación de las cookies), información clara y completa sobre el uso y finalidades de dichos dispositivos, y sin contar con un consentimiento válidamente otorgado por no haberse obtenido mediando una información previa correcta.
Como analizaremos a continuación, parece obvio que el principal foco de controversia sobre el que se oirá hablar en los próximos meses, es el milimétrico contenido que debe albergar esa segunda capa. Será este el aspecto que genere más dudas entre los afectados, al implicar inevitablemente que las empresas tengan que dedicar nuevos recursos y esfuerzos a la regularización de unas políticas de cookies que inocentemente consideraban ya definitivas.
Transcribiendo parte de la resolución, la AEPD expuso sobre la web que “no contiene una información adecuada sobre el tipo de cookies que efectivamente se utilizan y sus finalidades que permita conocer al usuario de una forma apropiada el uso que se dará a la información recuperada, tampoco se asocia claramente su uso con el propio editor o con terceros que también deben ser identificados, habiéndose constatado que sólo se hace referencia a las cookies del servicio Google Analytics de Google Inc sin citar otras cookies de terceros cuya descarga también se ha comprobado se realiza en los terminales de los usuarios, como son, por ejemplo, las de Automattic Inc, Quantcast, You Tube LLc, Zopim Technologies Pte Ltd, Seevolutión Inc.”
Y concluyó que “el sistema de capas utilizado por ambas entidades no contiene la información que se considera necesaria para estimar que resulta completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas e identidad de quienes instalan y utilizan las cookies, lo que invalidaría el consentimiento que pueda ser prestado por los usuarios”.
Esto es debido, principalmente, a que en la Inspección llevada a cabo se detectó que la información que se había proporcionado a los usuarios sobre las cookies propias y de terceros, no era suficiente al haberse detectado algunas otras distintas que no habían sido incluidas, o cuya descripción no había sido lo suficientemente detallada.
En este sentido, parece desprenderse de la resolución que en esa segunda capa deberían identificarse individualmente cada una de las cookies utilizadas, ya sean propias o de terceros. Además, esos terceros “deben ser identificados”, y sus cookies deben estar específicamente descritas, tanto de aquellos con los que la compañía tenga contratado un servicio, como de los terceros ajenos que puedan instalar cookies en la web con fines publicitarios (ej. anunciantes de redes publicitarias).
Es evidente la complejidad intrínseca a esta obligación ya que supone una constante labor de actualización de los listados de cookies y de la identidad de los terceros que puedan estar implicados en su utilización, existiendo siempre un riesgo de sanción al poder estar los listados desactualizados en algún momento concreto de la navegación.
Sin perjuicio de lo anterior y según ha manifestado el IAB, la AEPD ha confirmado que respecto a esos terceros, únicamente deberán identificarse a aquéllos con los que se haya contratado un servicio concreto, tal y como ya se describía en las Guía cuando detallaban el contenido mínimo a incluir en la segunda capa. Ahora bien, la experiencia nos dice que un comentario de este tipo no deja de ser un indicio orientativo útil pero al que no se le puede conferir más importancia de la que realmente tiene, porque lo cierto es que a día de hoy el único criterio oficial del que disponemos es el de la resolución.
Por tanto, y sin ánimo de ser alarmistas, parece que lo más probable es que objetivamente la mayoría de páginas web presenten en la actualidad deficiencias respecto a su política de cookies.
De todos modos, que no se malinterpreten nuestras reflexiones. No se trata de quitarle importancia a la obligación de informar al usuario sobre la tipología de cookies que una web puede utilizar, ni a la de recabar el consentimiento de éste para su utilización, ya que el fin que persiguen estas obligaciones obviamente las justifican (privacidad y confidencialidad). Ahora bien, aunque el fin esté justificado, parece necesario revisar los medios impuestos para alcanzarlo dado que en ocasiones parece que llegamos a rozar el absurdo. Y decimos esto porque una vez comprobados los primeros inconvenientes surgidos tras la publicación de la resolución, parece necesario llegar a un término medio que permita conferir mayor seguridad a los usuarios, pero sin bloquear la publicación de contenidos, el interés legítimo de la actividad publicitaria y el comercio electrónico.