Las claves para un consentimiento válido en la instalación de Cookies
José María González, Abogado ICAB, Núm. Col.: 35.300 DPD. Certificado por ISMS Forum, Cert. Núm: ISMS 2020 20 0048. Delegado de Protección de Nova Àgora Grup
16/03/2021Se institucionaliza así en nuestro país el consentimiento explícito como la única causa de legitimación válida para la instalación de Dispositivos de Almacenamiento y recuperación de Datos en los equipos terminales de los usuarios (DARD’s, que por simplificar llamaremos simple y llanamente Cookies). Vemos desaparecer así la posibilidad de instalación de Cookies mediante consentimientos implícitos y condenando al olvido la típica fórmula ‘Si sigues navegando por la web, entenderemos que aceptas la instalación de Cookies’. Las únicas Cookies que se escapan al requisito omnipresente del consentimiento del usuario, y por ello se denominan Cookies exentas, son las que se consideran necesarias para el correcto funcionamiento de una página web, también se las conoce como Cookies técnicas.
En materia de Cookies, el Reglamento General de Protección de Datos (RGPD) es desplazado por el principio de especialidad a un segundo plano. Se aplica de forma preferente la Directiva E-Privacy y en nuestro país el artículo 22.2 de la LSSICE. Así pues, el artículo 9 del RGPD, con sus 6 bases de legitimación, no se aplica si estamos hablando de la instalación de Cookies en un equipo terminal, en este contexto solo tenemos como única causa de legitimación válida el consentimiento del usuario, consentimiento que debe cumplir, ahora sí, con las directrices que indica el RGPD en su Art. 4.11: (...) ’toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le concierne’ (...).
El consentimiento parece a priori la base de legitimación más fácil de aplicar y acreditar, en detrimento de otras causas que parecen más complejas, como por ejemplo el interés legítimo con sus juicios de ponderación. Pero en la práctica el consentimiento es un caramelo envenenado para los responsables y encargados de tratamiento. Su mayor dificultad reside en que debemos informar al usuario de forma previa al tratamiento, con una información de calidad, clara y comprensible, para que su consentimiento sea considerado válido. Encontramos paralelismos con el consentimiento informado en la Ley de Autonomía del Paciente, el principio rector es el mismo, sin una información clara y comprensible antes del tratamiento, el consentimiento está viciado y no es válido. De nada sirve que el usuario web marque una casilla de validación ‘opt-in’ o elija unas preferencias si antes de tomar esa decisión no cuenta con una información de calidad. La AEPD ha puesto el listón muy alto en cuanto a consentimiento informado se refiere, prueba de ello son los procedimientos sancionadores contra BBVA o CaixaBank, por poner ejemplos recientes.
El consentimiento para la instalación de Cookies debe ser explícito y estar previamente informado con calidad
En materia de Cookies y para cumplir con la condición ‘sine qua non’ de contar con el consentimiento explícito e informado de los usuarios web, el primer paso es tener implementado en la web un aviso de Cookies o primera capa, un banner que informe al usuario del tipo de Cookies y sus finalidades. La información de primera capa debe ser concreta y clara, debemos huir de fórmulas vacías de contenido como, por ejemplo: ‘Esta web utiliza Cookies para mejorar tu experiencia de usuario’. La propia AEPD nos da fórmulas concisas: ‘Utilizamos Cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas)’.
Este aviso de Cookies a modo de primera capa nos llevará a un centro de preferencias donde el usuario podrá seleccionar las Cookies que desea que se instalen y las que descarta. Aquí entra en juego una valiosa herramienta los ‘Consent Management Platforms’ o CMP’s herramientas de software, que permiten al usuario web elegir sus preferencias y a su vez aportan al editor y responsable de la web un log de registro con esas preferencias. Son por ello una herramienta básica para cumplir con el principio de rendición de cuentas o ‘accountability’. Además, el CMP se encargará de indexar las Cookies de la página web y dividirlas en las distintas categorias: necesarias, de análisis, de publicidad comportamental, etc.
Pero, aunque el CMP nos facilite y allane el camino para dar esa información de primera capa y para permitir al usuario elegir sus preferencias de configuración, no debemos olvidar que es necesaria también una segunda capa en forma de Política de Cookies que deberá estar siempre visible, por ejemplo, al pie de la página web y a poder ser diferenciada del Aviso Legal, la Política de Privacidad o las Condiciones Generales de Contratación, en su caso.
Esta segunda capa aporta una información adicional y ampliada para el usuario que no podemos obviar y que es fundamental para que su consentimiento tenga el requisito indispensable de ser un consentimiento informado. En la segunda capa o Política de Privacidad se recogen extremos muy importantes que no recoge la primera capa, como por ejemplo las transferencias internacionales de datos en el tratamiento de Cookies, ahora tan vigentes desde la sentencia Schrems II y la anulación del framework Privacy Shield.
Aquí partimos de las mismas premisas que en el caso de la primera capa, huir de clichés, de frases vacías y sobre todo del ‘copy & paste’. No basta en una Política de Cookies con copiar el típico texto explicando qué es una Cookie y repasando las distintas categorias. Debemos hacer un ejercicio de concreción. Para ello, es muy recomendable incrustar una tabla de Cookies que ampliará la información que nos mostró en su momento el CMP en su centro de preferencias.
En esta tabla podremos separar las Cookies por categorías, como ya hacía el CMP, y daremos además información sobre: el tipo de Cookie y su finalidad, si es propia o de terceros, su caducidad; además, podemos aprovechar esta tabla para empoderar al usuario web con herramientas de ‘opt-out’ para las Cookies que complementen las opciones de ‘opt-in’ que hemos dado mediante el centro de preferencias del CMP instalado en nuestra web. De esta forma, mejoraremos la calidad de la información que damos a nuestros usuarios web; esto a su vez nos servirá para afianzar el consentimiento que nos han dado como un consentimiento informado y válido. Sin duda, a mayor información el consentimiento del usuario se verá reforzado y mejorado.
También podremos indicar en la tabla de Cookies las medidas de seguridad que aplicamos en el tratamiento de datos personales mediante Cookies. Un ejemplo interesante sobre posibles medidas de seguridad a aplicar es la utilización de una función de anonimización de la IP con Google Analytics. Esta medida de seguridad nos permite anonimizar en origen la IP del usuario que tratará Google para realizar el seguimiento:
Ejemplo de una línea de la tabla de Cookies, donde se da una información adicional al usuario web que no se incluye en el centro de preferencias del CMP, en este caso y sobre una Cookie de Google Analytics (_ga), se ofrece al usuario información adicional sobre medidas de seguridad técnica (anonimización) y se ofrecen herramientas adicionales de opt-out:
Nos esperan grandes cambios en materia de Cookies. Google ya hace tiempo que se ha manifestado al respecto, seguirá los pasos de Firefox y Safari y ha anunciado el fin de las Cookies de terceros en su navegador Chrome en un futuro próximo. Google dará paso así a otras tecnologías de ‘fingerprinting’ para realizar su tracking, eliminado a terceros intermediarios y consolidando su posición de dominio. El tiempo dirá si estas técnicas de ‘fingerprinting’ serán más o menos respetuosas con nuestra privacidad que las actuales Cookies.
Otras de las novedades a la vista es la aprobación del Reglamento E-Privacy que derogará la actual y vetusta Directiva, Reglamento que debería haber entrado en vigor de la mano del RGPD el pasado 25 de mayo de 2018 y del que depende el futuro de la industria AdTech europea. En su último borrador se anunciaba como excepción al consentimiento del usuario las Cookies que fueran necesarias para la finalidad de medición de audiencias. Este cambio sería un soplo de aire fresco para la industria publicitaria online. En la actualidad la Autoridad de Control francesa CNIL tiene un planteamiento parecido. Veremos qué novedades nos depara el futuro Reglamento.
Mientras tanto espero que no se empachen ustedes entre capa y capa de Cookies.