cookies

1. Cuestiones planteadas

(i) Directiva de cookies (Aspectos generales de la regulación de las cookies, y plazo de adaptación por los distintos Estados europeos).

(ii) Adaptación de España (transposición) a la Directiva de cookies.

2. Normas aplicables

(i) Directiva de cookies (Aspectos generales de la regulación de las cookies, y plazo de adaptación por los distintos Estados europeos).

Las cookies están reguladas en la Directiva Europea 2009/136/CE del Parlamento Europeo y del Consejo de 25 de noviembre del 2009, llamada “Directiva de las Cookies”, que modifica la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, y la Directiva 2002/58/CE referida al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) nº2006/2004 sobre la cooperación en materia de protección de los consumidores.

La referida directiva (2009/136/CE), en relación a las cookies en su artículo 66  señala textualmente lo siguiente:

Puede que haya terceros que deseen almacenar información sobre el equipo de un usuario o acceder a información ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aquellos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso. El modo en que se facilite la información y se ofrece el derecho de negativa debe ser el más sencillo posible para el usuario. Las excepciones a la obligación de facilitar información y proponer el derecho de negativa deben limitarse a aquellas situaciones en las que el almacenamiento técnico o el acceso sean estrictamente necesarios con el fin de permitir el uso de un servicio específico solicitado específicamente por el abonado o usuario. Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación” (subrayado y negrita nuestra).

Destacando así de forma clara la obligación en caso de usar cookies, de dar una información clara y completa a los usuarios sobre las mismas, y establecer mecanismos sencillos que permitan al usuario negarse a la instalación.

Asimismo, la directiva modifica el apartado 3 del artículo 5 de la Directiva de privacidad, señalando en relación a las cookies lo siguiente:

5.3. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario” (subrayado y negrita nuestra).

Por lo cual, básicamente la Directiva comunitaria obliga a informar del uso que harán con la información recabada mediante las cookies, para que sean los usuarios quienes decidan si aceptan o no que sus datos sean rastreados.

Trasposición de la Directiva a los países miembros.

Para la adaptación de todos los países miembros de lo dispuesto en la Directiva a sus respectivos ordenamientos jurídicos, el artículo 4 establece que los Estados miembros de la Unión Europea, adoptarán y publicarán, a más tardar el (25 de mayo de 2011), las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la Directiva, y deberán comunicar inmediatamente a la Comisión el texto de dichas disposiciones.

(ii) Adaptación de España (transposición) a la Directiva de las cookies.

En el caso de España, la transposición de la Directiva se hizo el pasado 30 de marzo de 2012, diez meses después de la fecha tope fijada (25 de mayo de 2011) a través del “Real Decreto-ley 13/2012”, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista”.

Dicho Decreto, recoge en su artículo 4 la modificación de la Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico (LSSICE) regulando todo lo referido a las cookies en el artículo 4.3 que da una nueva redacción al artículo 22.2 de la LSSICE, destacando como aspecto novedoso “la necesidad de consentimiento” además del de información previsto en la LSSICE. Al respecto, el nuevo texto señala lo siguiente: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Con la nueva legislación vigente, se debe informar a los usuarios el uso que se va a realizar con la información recabada mediante las cookies, dándole la oportunidad a aceptarla o no, requiriendo un consentimiento informado (opt-in), en vez del opt-out  o consentimiento tácito establecido en la legislación anterior.

No obstante, dicho consentimiento previo no será necesario en los siguientes casos:

  • Cuando el almacenamiento o acceso de índole técnica se realiza con el fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas.
  • Si resulta estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Por último, es importante destacar que el incumplimiento de estas disposiciones se regula en el Título VII de la LSSI, en el que se detallan las infracciones y sanciones y, en concreto, a los artículos 38.3.i y 38.4.g, que tipifican con infracción grave y leve, respectivamente, el incumplimiento “(…) de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22”. Pese a ello, hasta que no se regule la consecuencia de la falta de consentimiento (aspecto novedoso de la reforma), cabría sostener en virtud del principio de tipicidad, que no será posible imponer sanciones por esta omisión. No obstante, estamos a la espera del pronunciamiento de la Agencia Española de Protección de Datos, órgano competente de conocer dicha infracción, quien deberá establecer ejemplos de mecanismos válidos para el cumplimiento del nuevo marco legal y tomará medidas para regular el régimen sancionador de la misma.