Introducción

La presente nota tiene por objeto resumir los principales aspectos que la Agencia Española de Protección de Datos (AEPD) ha puesto de manifiesto en su Guía sobre el uso de las cookies (Guía) recientemente publicada con ocasión de la modificación del artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante, LSSI) a partir de la entrada en vigor, el pasado 1 de abril de 2012, del Real Decreto Ley 13/2012, de 30 de marzo, por el que se transponen varias directivas, entre otras, la directiva en materia de comunicaciones electrónicas (en adelante, RDLey 13/2012).  

Las soluciones propuestas en la guía de la AEPD se presentan como orientaciones que sirven de pauta, sin ofrecer una solución general y uniforme, sobre cómo cumplir con las obligaciones previstas el artículo 22.2 de la LSSI.  

El artículo 22 de la LSSI y la guía de la AEPD se refieren a la instalación de cookies y tecnologías similares utilizadas (tales como local shared objects o flash cookies2, etc.) para almacenar y recuperar datos de un equipo terminal (por ejemplo, un ordenador, un teléfono móvil o un tablet) de una persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información.  

En todo caso, tal y como viene a señalar la propia AEPD, en aquellos casos en los que la instalación y/o utilización de una cookie conlleve el tratamiento de datos personales, los responsables del tratamiento deberán asegurarse del cumplimiento de las exigencias adicionales establecidas por la normativa sobre protección de datos personales, en particular, en relación con los datos especialmente protegidos. Asimismo, se refiere a la necesidad de adoptar cautelas adicionales en este ámbito en relación con los menores de edad.  

Resulta casi de obligado cumplimiento antes de seguir avanzando en la presente nota señalar qué se entiende por cookie y, en su caso, cómo se pueden clasificar las cookies a efectos de determinar si les resulta de aplicación lo previsto en el referido artículo 22.2 de la LSSI.  

La cookie es cualquier tipo de archivo o dispositivo que se descarga en el equipo terminal de un usuario con la finalidad de almacenar datos que podrán ser actualizados y recuperados por la entidad responsable de su instalación.  

Las cookies se pueden clasificar atendiendo a los siguientes criterios: según la entidad que las gestione (propias o de terceros); según el plazo de tiempo que permanecen activadas (de sesión o persistentes); o según su finalidad (técnicas, de personalización, de análisis, publicitarias o de publicidad comportamental). Si bien una misma cookie puede estar incluida en más de una categoría.  

Obligaciones legales  

Según la nueva redacción del artículo 22 de la LSSI, los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los destinatarios hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica de Protección de Datos (LOPD).  

A priori cabe pensar que el deber de información previa sobre las cookies ya se venía cumpliendo a través de la correspondiente política de privacidad informando simplemente acerca de lo qué es una cookie y, en su caso, indicando la posibilidad de configurar o no el navegador. Con la nueva regulación se exige cumplir el deber de información previo de forma más detallada y, en su caso, obtener el consentimiento del destinatario o usuario.  

  • Deber de información  

¿Cómo se debe informar al usuario? La información que se ponga a disposición del usuario deberá ser lo suficientemente clara y completa para que éste entienda la finalidad de la instalación y los usos de las cookies. Además, se le deberá informar sobre cómo revocar el consentimiento y eliminar las cookies de forma accesible y permanente.  

En relación con la calidad de la información facilitada se recomienda tener en cuenta el tipo de usuario al que se dirige la página web y adecuar el lenguaje al mismo, evitar terminología técnica innecesaria y buscar la mayor claridad posible. Se recomienda encajar la información sobre cookies de la forma más armonizada posible con el resto de contenidos de la página web de manera que resulte más probable que la información sea leída por el usuario.  

La accesibilidad y visibilidad de la información es clave para el cumplimiento del deber de información. Son diversas las fórmulas que se proponen: desde el incremento del tamaño del enlace que dirige a la información sobre cookies, hasta la presentación de dicho enlace en una zona que capte la atención del usuario, pasando por el etiquetado del enlace con una buena denominación descriptiva (“política de cookies” en lugar de “política de privacidad”), o subrayándolo y remarcándolo.  

En relación con los métodos más comunes para ofrecer la información y, en su caso, solicitar el consentimiento cabe pensar en los procesos más comunes como:  

  1. Suministrar la información a través de una barra de encabezamiento o en el pie de página, de forma suficientemente visible, pudiendo incluso presentarse mediante un hiperenlace distinto, por ejemplo, del resto de la información sobre términos y condiciones de uso o política privacidad.  
  2. Facilitar la información junto con la política de privacidad, o en los términos y condiciones de uso del servicio en el momento de solicitar el alta en un servicio, o antes de descargar un servicio o una aplicación.  
  3. Recurrir al sistema conocido como de información por capas. Pudiendo distinguirse, como mínimo, dos capas o niveles:  
  • En la primera capa se haría mención a aspectos básicos como: la advertencia del uso de cookies; las finalidades de las cookies que se instalan, la información sobre si la instalación y uso de las cookies es solo del editor responsable de la web, o también de terceros asociados a él; la advertencia de que si se realiza una determinada acción, se entiende que el usuario acepta el uso de las cookies; y un enlace a una segunda capa informativa en la que se incluye una información más detallada sobre la primera capa.  
  • En la segunda capa se detallarían puntos como: la definición y función de las cookies; la información sobre el tipo de cookies utilizado; información sobre la forma de desactivar o eliminar las cookies enunciadas; la forma de revocación del consentimiento ya prestado; así como información sobre la identificación de quién utiliza las cookies, esto es, si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros con los que el editor haya contratado la prestación de un servicio para el cual se requiere el uso de cookies, con identificación de estos últimos.  
  • Obtención del consentimiento  

Para la instalación y utilización de cookies será necesario, además de cumplir el deber de información previo, obtener el consentimiento del destinatario del servicio. Esta regla general encuentra una excepción en aquellas cookies utilizadas para alguna de las siguientes finalidades:  

  • Permitir únicamente la comunicación entre el equipo del usuario y la red.
  • Prestar un servicio expresamente solicitado por el usuario.  

De este modo, en la referida Guía de la AEPD se señala expresamente que entre las cookies exceptuadas estarían aquellas que tienen las siguientes finalidades:  

  • Cookies de entrada del usuario.  
  • Cookies de autenticación o identificación del usuario (únicamente de sesión).  
  • Cookies de seguridad del usuario. 
  • Cookies de sesión de reproductor multimedia.  
  • Cookies de sesión para equilibrar la carga.  
  • Cookies de personalización de la interfaz de usuario.  
  • Cookies de complemento (plug-in) para intercambiar contenidos sociales.  

Se entiende que estas cookies quedan excluidas del ámbito de aplicación del artículo 22.2 de la LSSI, y por tanto, no sería necesario informar ni obtener el consentimiento sobre su uso.  

En todo caso, tal y como señala expresamente la AEPD, deberá tenerse en cuenta que una misma cookie puede tener más de una finalidad, por lo que existe la posibilidad de que mientras para una finalidad o tratamiento la cookie puede quedar exceptuada del ámbito de aplicación del artículo 22.2 de la LSSI, puede no estarlo para otras finalidades, quedando sujetas al ámbito de aplicación de dicho precepto.  

La AEPD se refiere en su Guía a varios procedimientos para la obtención del consentimiento, entre otros: el simple hecho de hacer clic en un apartado, la realización de algún tipo de acción consciente y positiva que pueda ser interpretada en el sentido de que se acepta la instalación y utilización de cookies, la aceptación de términos y condiciones o política de privacidad, en el momento de la configuración del funcionamiento de la página web, cuando se solicita una nueva función,…. En todo caso, señala expresamente la AEPD, la mera inactividad del usuario no implica la prestación del consentimiento por sí misma.  

Puede ocurrir que resulte necesario para la instalación de las cookies, obtener el consentimiento de usuarios ya registrados (es decir, que ya están dados de alta en el servicio). En ese caso, se deberá informar, de manera verificable, sobre los cambios realizados en relación con el tratamiento de las cookies y, en su caso, establecer un mecanismo que garantice la obtención del consentimiento (por ejemplo se puede emplear al fórmula según la cual se indique que en caso de continuar utilizando el servicio se entiende que el usuario consiente la instalación de cookies).  

La fijación del método empleado para la obtención del consentimiento dependerá del tipo de cookies, de su finalidad, y de si son propias o de terceros. En este sentido, un aspecto a tener en cuenta es si la relación con el usuario la tiene el editor o los terceros.  

No obstante lo anterior, cabría preguntarse si es posible que el usuario se niegue a aceptar las cookies. La AEPD se refiere a este supuesto y señala que puede ocurrir que el destinatario no preste su consentimiento, y como consecuencia de ello, la funcionalidad de la página web quede limitada o no sea posible.  

En consecuencia, tal y como señala la AEPD, la cookie se instalará cuando el usuario haya sido informado de las cookies y de la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos indicados. De este modo los destinatarios deberán poder tener la oportunidad de examinar la información y decidir si permiten o no la implantación de estos dispositivos.  

La AEPD se refiere a otras dos cuestiones relacionadas con el consentimiento que pueden resultar de interés: por un lado, la idea de que no es necesario obtener el consentimiento cada vez que un usuario visite una página web si el consentimiento fue obtenido inicialmente de forma válida; y por otro, la posibilidad de que el usuario retire, en cualquier momento, el consentimiento previamente otorgado.  

Responsabilidad de las partes en la utilización de las cookies  

Por último la Guía hace mención a la “Responsabilidad de las partes en la utilización de las cookies” y señala la necesaria colaboración entre los sujetos que participan en la instalación y utilización de cookies para asegurar el cumplimiento de las correspondientes obligaciones legales, refiriéndose expresamente a dos supuestos: a) El editor o los terceros utilizan las cookies para finalidades exceptuadas de las obligaciones de informar y de obtener el consentimiento; b) El editor o los terceros utilizan las cookies para finalidades no exceptuadas de las obligaciones de informar y obtener el consentimiento.  

En tales supuestos la AEPD recomienda la adopción de una serie de cautelas que pasan por la incluir en los contratos que se celebren entre el editor y los terceros una o varias cláusulas en las que se asegure el cumplimiento de las obligaciones legales frente a los usuarios, así como las consecuencias de la revocación del consentimiento para el editor y, especialmente, para los terceros que lo obtuvieron a través del editor.  

En definitiva, teniendo en cuenta las pautas fijadas por la AEPD no queda sino recomendar la realización de una “auditoria” interna o externa de las cookies que se están utilizando o instalando a efectos de verificar si resulta necesario cumplir con las obligaciones de información y de obtención del consentimiento.