Artículo preparado para Lvcentinvs por Alessio Balbo di VinadioRubén Cano PérezCarlos Muñoz Ferrandis, alumni del Magister Lvcentinvs.

En una era de plataformas digitales donde la ubicuidad tecnológica sigue expandiéndose, los gigantes digitales han encontrado un nuevo recurso: los datos. Estos últimos se han convertido hoy en su principal fuente de “alimento”. El 4 de mayo de 2016 vio la luz el Reglamento 2016/679 General sobre la de Protección de Datos Personales (de ahora en adelante ‘RGPD’), que resultará aplicable a partir del 25 de mayo de 2018, y que va a revolucionar todo tipo de gestión de los datos.

La interacción entre la legislación que, prima facie, regula las comunicaciones electrónicas (en particular la Propuesta de Reglamento ePrivacy), y el RGPD no está del todo clara. Parece ser que, tal y como se hace en la actual Directiva 2002/58 ( de ahora en adelante Directiva “ePrivacy”), la definición de consentimiento ha de encontrarse en el nuevo RGPD.

El aumento de los requisitos para obtener el consentimiento ha sido remarcable. Tras el notable cambio en 2011, requiriendo a los operadores web la obtención de consentimiento para ubicar una cookie en el dispositivo de un suscriptor o usuario, la nueva definición de consentimiento por el RGPD supone la última pincelada al marco regulatorio en la materia.

El RGPD y la Directiva ePrivacy tienen diferente razón de ser. Por un lado, las normas de la Directiva ePrivacy, relativas al ‘respeto de la vida privada y la protección de los datos personales en comunicaciones electrónicas’, nacen del Art. 7 de la Carta de Derechos Fundamentales de la UE (CDFUE), es decir, protegen el derecho fundamental de todos a ser respetados en el ámbito familiar o privado, hogar y en sus comunicaciones. Por otro lado, el RGPD tiene como fuente el Art. 8(1) de la CDFUE, que recoge el derecho de protección de datos personales de cada uno como individuo. Si bien las normas relacionadas con la Directiva ePrivacy serían de preferente aplicación por aquello que en derecho se conoce como lex specialis, el RGPD y su aspecto omnicomprensivo, hacen que en muchas ocasiones la excepción se convierta en la regla.

Pero, primero de todo, para aquellos que no estén del todo familiarizados con las mismas: ¿qué es una cookie? Las cookies son pequeños archivos de datos que se colocan en el ordenador o dispositivo móvil cuando un usuario visita un sitio web. Estas son ampliamente utilizadas por los proveedores de servicios en línea para, por ejemplo, hacer que sus sitios web o servicios funcionen, para que trabajen de manera más eficiente, así como para proporcionar información de la navegación de los usuarios o suscriptores web.

El punto controvertido en esta historia es que, en principio, todas las cookies estarán reguladas por la normativa ePrivacy, pero no implican un tratamiento de datos personales. Tal y como el considerando 30 del RGPD indica, “las personas físicas pueden ser asociadas con identificadores en línea (…) como las cookies”. Cuando esto suceda, y las cookies constituyan datos personales, parece que la normativa de referencia sería el RGPD en lugar de las normas ePrivacy (considerandos 3 y 5 Propuesta de Reglamento ePrivacy que, según todo indica, verá definitivamente la luz a lo largo de 2018).

Ambos instrumentos jurídicos actúan de manera complementaria, pero, tanto la actual Directiva como la propuesta de Reglamento ePrivacy, no regulan todos los aspectos de tratamiento de datos de manera exhaustiva (como si lo hace el RGPD) o un “ulterior tratamiento” de dichos datos, sino que principalmente se refieren a su ubicación en el dispositivo del usuario o suscriptor y al acceso de los datos generados por las mismas. Así, tal y como indica el Grupo de Trabajo Art. 29, la regulación de las comunicaciones electrónicas aplicaría al almacenamiento y acceso a cookies, pero no al tratamiento subsiguiente lo que hace que la unión de ambos cuerpos legislativos sea clave para evitar anomalías jurídicas (más información aquí, y un interesante paper aquí).

Consentimiento

Como sucedía ya con la Directiva 95/46 , relativa al tratamiento de datos personales y a la libre circulación de los mismos cuya definición de consentimiento se aplicaba a las cookies, el concepto y requisitos para recabar consentimiento del nuevo RGPD se aplica a todo aquello que tenga forma redonda y pepitas de chocolate. Una vez más, es necesario aclarar que la Directiva ePrivacy (o, de manera más significativa, en el futuro Reglamento) se aplica independientemente de si se captan datos personales o no, mientras que, si hablamos de datos personales, aunque se capten a través de comunicaciones electrónicas, el RGPD sería la normativa de referencia. Esto, jurídicamente tiene un significado claro: mientras aplique la Directiva ePrivacy, el consentimiento se tendrá que recoger de acuerdo con el RGPD por remisión al mismo, mientras que si estamos frente a datos personales el RGPD aplicará en toda su extensión y rigor. En cualquier caso, vemos como la receta del RGPD influye de manera excepcional en la regulación tradicional de las cookies.

El consentimiento quedaría definido en el RGPD como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen […]”, otorgando así una mayor protección al usuario de internet contra abusos por parte de responsables y encargados de tratamiento de datos. De hecho, en ese sentido, será necesario, tal y como se establece en el Art. 4 punto 11, que las empresas responsables o encargadas de recoger y procesar los datos pidan un consentimiento que sea expreso, específico, informado e inequívoco (véanse las Directrices sobre consentimiento bajo el Reglamento 2016/679 adoptadas el pasado 28 de noviembre aquí). En suma, se requiere una acción clara y afirmativa por parte del usuario o suscriptor, lo que contrasta con prácticas actuales como las de sitios web que únicamente utilizan un banner en indicando que ‘continuar usando la página web constituye consentimiento’ (“browse wrap agreements”). Por tanto, la inactividad no constituye consentimiento, el mero hecho de deslizar el ratón del ordenador e ir bajando para ver la página no significa consentir. ¡No más “usando esta página estás aceptando las cookies” o “si estás en esta página quiere decir que estás de acuerdo con nuestra política de cookies”! Tiene que haber una “manifestación libre, especifica, informada e equivoca” y genuina por parte del individuo (Art. 4 RGPD).

Vemos por tanto que, cuando la base legal para la ubicación y acceso a los datos de las cookies es el consentimiento, los estándares han sido incrementados, generando en muchos casos notable incertidumbre. Por ejemplo, algo que no termina de quedar claro es si la elección del usuario de las cookies que quiere recibir en el momento de la configuración del navegador web puede constituir consentimiento válido para ciertas cookies, cosa que no parece casar del todo con el requisito de “especificidad” del consentimiento en relación con una finalidad concreta.

Como diría Aristóteles: “in medio stat virtus” (algo que en castellano traduciríamos como “en el término medio está la virtud”). Término medio entre bombardear usuarios con peticiones de consentimiento estériles para la ubicación de cookies y que provoquen una apatía general en el navegante web. Consentimiento, sí; información, también. Eso sí, tomando en consideración tanto la experiencia del usuario como los posibles intereses que pueda tener el operador web (Enrique Dans comenta lo mismo con una perspectiva diversa aquí)

En esta línea, la propuesta de Reglamento ePrivacy reafirma excepciones en las que se permite el tratamiento de los datos sin consentimiento en su Art. 6 (siempre y cuando, como hemos ya indicado no constituyan datos personales), diferenciando entre datos, metadatos y contenido procedentes de comunicaciones electrónicas. Los ejemplos más notables serían los que se enuncian en el Art. 6.1(a) y (b), mediante los cuales los proveedores de redes de comunicación electrónica pueden procesar datos procedentes de dicha comunicación si: a) es necesario para conseguir la transmisión de la comunicación, durante el tiempo necesario para tal fin; o b) cuando es necesario para mantener o restaurar la seguridad de las redes y servicios de comunicación electrónica, o detectar errores técnicos y/o errores de transmisión de la comunicación electrónica durante el tiempo necesario para tal fin. Como excepciones que son, deben ser “estrictamente necesarias” para el fin que persiguen, interpretándose de manera restrictiva.

El grupo de trabajo Art. 29, en su Dictamen 04/2012 sobre la excepción de consentimiento para cookies, aporta varios ejemplos sobre cookies exentas y no exentas que ayudan a entender lo anterior:

a) Las load-balancing cookies, es decir, aquellas que se usan para recabar datos que ayudan a regular, dividir y gestionar la congestión de los servidores, serían consideradas necesarias para la comunicación a través de la red, por lo tanto, exentas de la notificación de almacenamiento puesto que únicamente identifican un servidor, no una máquina cliente. De esta manera no contendrían datos personales. Por lo tanto, su procesamiento no involucra protección personal de datos y no necesita notificación de procesamiento.

b) Las cookies que se usan para customizar la interfaz de usuario (por ejemplo, para indicar el idioma preferido o el formato de contenido) no requieren ningún identificador particular, por lo tanto, difícilmente constituirán información personal. Podrían, dependiendo de la persistencia, requerir notificación antes del almacenamiento.

c) Las cookies usadas para ubicar ‘la navegación del usuario’ – por ejemplo, contenidos del shopping cart – es posible que constituyan datos personales. Aunque estos están exentos de la notificación de almacenamiento, se necesitaría alguna base para su procesamiento bajo el RGPD. Llegados a este punto, la base obvia sería que el procesamiento es necesario para, o en respuesta de la petición del usuario, un contrato con el usuario (Art. 6.1(b) RGPD).

En resumen, parece que, con la complementariedad de sendos cuerpos legislativos, varias preguntas tendrán que ser formuladas por los operadores web: ¿mi forma de recabar consentimiento se adecúa a los estándares establecidos por el nuevo RGPD? ¿Son datos personales? ¿Necesito consentimiento bajo la normativa ePrivacy? Si son datos personales, ¿cuáles son mis bases legales para procesar datos personales?

Y para quien se haya quedado con ganas de comerse algo más contundente que una cookie, el menú del día recomienda echarle un ojo a otros manjares introducidos en la propuesta del reglamento ePrivacy, importados del RGPD, como: “privacy by design”, o el “risk assessment”.

¡Buen provecho!

Dejar respuesta

Please enter your comment!
Please enter your name here

Time limit is exhausted. Please reload CAPTCHA.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.