Ha vuelto a saltar en estos días la alarma por el tema de
las cookies, del que ya he hablado en ocasiones anteriores en este blog.
Se publicaba en fecha reciente la noticia del inicio de un
expediente sancionador de la Agencia Española de Protección de Datos contra una
empresa que no cumple la Ley de Cookies, ya que se limitaría a mostrar en su
web un pop-up informativo en relación con dichas cookies, pero que las instala
ante de haber obtenido el consentimiento del usuario.
Esta es una situación muy extendida en este momento, y son
muchas las webs que han optado por este tratamiento de las cookies, que podría
ser contrario a la LSSICE.
Las cookies que se van a tratar en el caso presentado ante
la AEPD son de las más habituales , contenidas en la mayor parte de páginas
webs y blogs: google analytics, google maps; google youtube, google Adsense,
Doubleclick, etc…
No obstante, por esa tendencia natural que existe a deformar
las noticias, creo que no estaría de más aclarar algunos puntos:
1º. Se trata del inicio de un expediente sancionador. Aún no
hay resolución administrativa.
2º. La AEPD, nos pongamos como nos pongamos, es un órgano
administrativo, cuyas resoluciones son –afortunadamente-revisables ante los
tribunales. Probablemente pasen años (que pueden ser muchos si el tema sube a las altas instancias
judiciales) antes de que tengamos una resolución firme sobre la materia.
3º. Como muy bien decía
esta mañana en twitter el compañero Samuel Parra: "Aunque hablen de la Ley de cookies, ni es una Ley ni es de cookies".
4º. El marco jurídico de esta cuestión lo tenemos en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informacion y del comercio electrónico (LSSICE), según redacción dada por -ojo- el R.D.-ley 13/2012, de 30 de marzo, por el que se
transponen directivas en materia de mercados interiores de electricidad y
gas y en materia de comunicaciones electrónicas, y por el que se
adoptan medidas para la corrección de las desviaciones por desajustes
entre los costes e ingresos de los sectores eléctrico y gasista.
Y
esta es la redacción exacta del precepto:
2.
Los
prestadores de servicios podrán utilizar dispositivos de almacenamiento y
recuperación de datos en equipos terminales de los destinatarios, a condición
de que los mismos hayan dado su consentimiento después de que se les haya
facilitado información clara y completa sobre su utilización, en particular,
sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal.
Cuando
sea técnicamente posible y eficaz, el consentimiento del destinatario para
aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los
parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél
deba proceder a su configuración durante su instalación o actualización
mediante una acción expresa a tal efecto.
Lo
anterior no impedirá el posible almacenamiento o acceso de índole técnica al
solo fin de efectuar la transmisión de una comunicación por una red de
comunicaciones electrónicas o, en la medida que resulte estrictamente
necesario, para la prestación de un servicio de la sociedad de la información
expresamente solicitado por el destinatario.
5º. Además de esto, hemos de tener en cuenta la Guía sobre el uso de las cookies que ha presentado la AEPD, y que se puede leer aquí:
Atención, que se trata de una GUÍA. Y como dice en la propia GUÍA:
Las
soluciones propuestas en la presente guía pretenden ofrecer orientaciones sobre
cómo cumplir con las obligaciones previstas en el apartado segundo del artículo
22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información
y de comercio electrónico, tras su modificación por el Real Decreto-ley
13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados
interiores de electricidad y gas y en materia de comunicaciones electrónicas, y
por el que se adoptan medidas para la corrección de las desviaciones por
desajustes entre los costes e ingresos de los sectores eléctrico y gasista (en
adelante, LSSI).
Sin
perjuicio de posibles desarrollos ulteriores para actualizarlas o dar
respuestas concretas a modelos de negocio más complejos que los aquí
contemplados.
Dadas las
múltiples complejidades que plantea el uso de las cookies, estas orientaciones
no pretenden ofrecer una solución general y uniforme para el cumplimiento de la
Ley sino que deben servir de guía para que las entidades afectadas reflexionen
y adopten decisiones sobre la solución más adecuada a sus intereses y modelo
de negocio.
6º. En definitiva, que ni tenemos Ley de Cookies, ni resoluciones firmes ni nada similar que nos dé una mínina seguridad jurídica. El artículo 22.2 LSSICE sirve más para confundir que para aclarar el tema, y la famosa GUÍA no es Ley, sino guía orientativa, de modo que poco podemos esperar.
7º. Mi criterio -que probablemente le parezca demasiado radical a muchos- es eliminar todas las cookies de tu web. Hay formas de hacerlo. O eso, o nos arriesgamos a ser conejillos de indias de los señores de la AEPD y tribunales que finalmente puedan interpretar la norma. Es la única solución segura que me plantea la total inseguridad jurídica en que nos vemos sumidos.
Estas son las situaciones ridículas a que nos empuja el legislador y nuestros "distinguidos" gobernantes.
Hay normativas que una tiene la sensación de que se han engendrado en medio de un botellón en el Congreso.
Si bebes, no legisles.
