Doctrina AEPD: consentimiento para uso de ‘Cookies’

Publicado el 05 Sep 2013

Internet

Autores: ECIJA

A raíz de la modificación del artículo 22.2 de la LSSI entrada en vigor el 1 de abril de 2012, la última dicción del texto legal establece que la instalación de cookies está sujeta a obtención del consentimiento del usuario. No obstante, tal y como aclara el precepto in fine ello no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

No ha sido hasta el momento presente en que han recaído las primeras propuestas de sanción aclarando las implicaciones más técnicas del precepto por parte de la Agencia Española de Protección de Datos.

Según se desprende de dichos expedientes sancionadores, el criterio interpretativo del órgano regulador consiste en la exigencia de supeditar cualquier instalación efectiva de cookies a la previa obtención del consentimiento para ello; lo cual sólo será posible cuando en una secuencia consecutiva de eventos el consentimiento haya sido previo a la primera inyección del código cookie en el ordenador del usuario.

Esto en la práctica significa que muchos de los avisos usados en la actualidad por páginas web que vienen inyectando el código cookie de forma simultánea a la primera visita a la vez que muestran un pop-up que advierte al usuario que puede bloquear las cookies (y por tanto estas están ya instaladas) modificando las configuraciones de su terminal, son técnicamente incorrectas; y no cumplen lo exigido con la LSSI en su redacción vigente, que exige una regla de doble step in. Dicho de otro modo, estos tipos de avisos legales a los que la gran mayoría de usuarios de internet a día de hoy estamos acostumbrados (pop up informando de la existencia de cookies ya inyectadas) estarían incumpliendo el tenor actual de la norma, ya que la inyección de cookies ya habría tenido lugar en el momento en que se ofrece información sobre cómo bloquearlas.

Con arreglo a la legislación anterior estos banners ex post a la instalación ya operada de las cookies eran perfectamente lícitos, pues el texto solo obligaba a percatar al usuario de la existencia de cookies instaladas, mentándole la posibilidad de seguir o no soportándolas ajustando las opciones de seguridad del navegador o la configuración del terminal. Pero con arreglo a la ortodoxia propugnada por la Agencia para la interpretación de la norma vigente, la página deberá permitir abandonar la sesión web antes de que dichas cookies se instalen efectivamente en el terminal en un primer momento. La posibilidad de abandonar la página por razón de la disconformidad del usuario de tolerar cookies debe ser plena; de tal manera que si el visitante ejerce este step-out su terminal no haya recibido aún ningún código inyectado en el momento en que decide desistir de visitar la página en cuestión.

Téngase en cuenta que el cumplimiento de la redacción actual no equivale a la necesidad de que se acepte siempre de forma ineludible un primer click de bienvenida, de aceptación obligatoria en la precarga para legitimar el visionado posterior de la web, pues en principio cabrían métodos alternativos de obtención del consentimiento (habría, en el plano teórico margen para considerar como una opción válida a efectos de la norma el consentimiento presunto o tácito alternativo al clic de pantalla si el visitante realiza actos concluyentes e indubitados de su voluntad de aceptación de dichas cookies y voluntad de permanencia en la web, aún a sabiendas de que ello implica la inyección del código).

Deberá tenerse en cuenta, asimismo, que aunque el titular de la página web (en el caso de las cookies de terceros) pueda no ser beneficiario de las cookies empleadas en su web, continuaría detentando la responsabilidad legal por tolerar su instalación por parte de terceros en la página de su titularidad a los ojos de la normativa española, y podría ser sometido a sanción personalmente por tal motivo. De tal forma, la responsabilidad por el uso de cookies de terceros en una web propia continúa siendo a todas luces el titular de la web establecido en España a efectos del art. 2 de la LSSI, por lo que se arroga todas las responsabilidades legales dimanantes de la tenencia del sitio web. La sanción por infracción leve de la ley de cookies puede ascender hasta 30.000 Eur [art 39.c)]

Respecto del modo más recomendable de presentar la información sobre cookies al usuario (presentación por capas) nos remitimos al contenido de nuestra nota informativa de 08.05.2013 cuyo texto adjuntamos en anexo para facilitar su relectura.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

R
Redacción RedesTelecom

Artículos relacionados

Artículo 1 de 2