1.- Trasposición al ordenamiento español del consentimiento expreso para la utilización de cookies de rastreo

En 31 de marzo de 2012 se ha publicado en el BOE, el Real Decreto-ley 13/2012, de 30 de marzo, que finalmente ha procedido a la trasposición al ordenamiento jurídico español de la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. En concreto se ha procedido a la modificación de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico.

La citada Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas establece un procedimiento de consentimiento informado (opt in) previo a la utilización de cookies. Es decir, con carácter general la Directiva exige haber obtenido el consentimiento informado de los usuarios con carácter previo a la utilización de cookies de rastreo (sistema de opt in).

Pues bien, la nueva redacción dada al art. 22.2 incorpora esta Directiva a nuestro ordenamiento al exigir el consentimiento expreso del usuario sobre los archivos o programas informáticos (incluidas las «cookies») que almacenan información en el equipo de usuario y permiten que se acceda a ésta, sustituyendo el anterior sistema de opt out o consentimiento tácito.

La redacción del artículo 22.2 queda como sigue

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Por tanto, será necesario la obtención del consentimiento expreso, con 2 excepciones; (i) el posible almacenamiento o acceso de índole técnica con la única finalidad de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas y (ii) para aquellos sitios webs en los que el usuario se registre previamente y se utilicen cookies para poder prestar correctamente el servicio solicitado por el usuario (Ej. cookies de seguridad).

Este hecho supone un cambio radical en la legislación existente en materia de cookies y obliga a las empresas que operen en España en el sector de la publicidad comportamental (behavioral advertising) a adaptarse a estos cambios legales.

2.- La posición de la Unión Europea al respecto. El código de buenas prácticas de la IAB

Por su parte, el Grupo de Trabajo del Artículo 29 de la Directiva sobre Protección de Datos (Directiva 95/46/CE) se pronunció sobre la cuestión en su Dictamen 2/2010 sobre publicidad comportamental en línea, manifestando que:

No es válida la fórmula de obtención del consentimiento a través de las opciones del navegador.
Se debe limitar a un año como mucho la duración de las cookies.
Se deben establecer mecanismos de revocación del consentimiento.
No se debe desviar la obtención del consentimiento a los avisos legales o condiciones generales de los sitios web.
Se tiene que potenciar el uso de iconos con enlace a información complementaria sobre el uso de las cookies.
Con motivo del Dictamen 2/2010, en abril de 2011, se publicó el Código de buenas prácticas en materia de publicidad comportamental en línea de la IAB que contenía un conjunto de buenas prácticas encaminadas a dotar de la mayor transparencia posible al sector y a facilitar el control por parte de los usuarios. Éste Código se basa en un sistema de opt out reforzado que otorgaría a los consumidores herramientas para gestionar la publicidad basada en el comportamiento (OBA) mediante la incorporación de un icono que indica a los consumidores el uso de esta tecnología. Cuando se hace clic en este icono se dirige a una página web de la empresa donde se facilita más información sobre este tipo de publicidad y se ofrece la posibilidad de darse de baja. Además, se dirige a una web habilitada por la industria a nivel europeo: www.youronlinechoices.eu, que aporta información adicional sobre la OBA e incluye la opción de darse de baja de los sistemas de publicidad basada en el comportamiento.

Sin embargo, en diciembre de 2011, el Grupo de Trabajo del artículo 29 emitió una nueva opinión (que complementa y aclara aspectos del Dictamen 2/2010 sobre OBA) en su Dictamen 16/2011 en el que se pronunció acerca del Código de buenas prácticas en materia de publicidad comportamental en línea, concluyendo que la redacción de este Código no cumple con los requisitos de la Directiva 2002/58/CE y que el icono informativo basado en un sistema de opt out no es suficiente para asegurar el correcto cumplimiento del marco legal europeo sobre protección de datos.

3.- Conclusiones

Tras la modificación de la LSSI, se confirma que España (como no podría ser de otro modo, por el efecto directo de las Directivas comunitarias) ha adoptado el criterio de consentimiento expreso para la utilización de cookies de rastreo, por lo que los sitios web que utilicen este tipo de cookies deberán proceder a realizar las modificaciones pertinentes. Una vez que un usuario ha otorgado su consentimiento al uso de cookies de rastreo habilitadas en un determinado sitio web, este consentimiento no solo sería válido para otras páginas del mismo sitio web, sino para todas aquellas páginas que formen parte de esa OBA.

La obtención del consentimiento no sería necesaria para todo tipo de cookies, sino solo para cookies de rastreo (tracking cookies).

En cuanto al modo efectivo de obtener el consentimiento, el citado Dictamen 16/2011 propuso algunas opciones como ejemplo válido para la obtención del consentimiento (como alternativa a la obtención del consentimiento mediante pop ups):

Mediante información estática en un banner en la parte superior del sitio web, solicitando el consentimiento de los usuarios para el uso de tecnología cookie y con un hyperlink con información detallada sobre los distintos responsables de las cookies y la finalidad del tratamiento (http://www.ico.gov.uk/)
Mediante una pantalla de incio (Splash Screen) al acceder al sitio web informando acerca del uso de tecnología cookie y las consecuencias de su aceptación por los usuarios.
Un sistema que por defecto impida el uso de tecnología cookies excepto en los casos en los que los usuarios otorguen su consentimiento expreso al uso de cookies de rastreo.
Mecanismos que permitan a los usuarios configurar de forma efectiva su privacidad online a través del navegador. http://www.w3.org/2011/tracking-protection/

4.- Otras modificaciones de la LSSI

Por otra parte, se ha modificado la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, en los siguientes términos:

Información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos

Se ha añadido un nuevo apartado 4 al artículo 20 que establece lo siguiente: «4. En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.»

Comunicaciones comerciales realizadas a través de correo electrónico

El art. 20 de la LSSI obliga a que cuando se realicen comunicaciones comerciales, se ofrezca al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Pues bien, se añade un nuevo párrafo al apartado 2 del artículo 21, con la siguiente redacción:

«Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.»

Derechos de los destinatarios de servicios

Por último, se modifica el artículo 22, que queda redactado del siguiente modo:

Artículo 22. Derechos de los destinatarios de servicios.

1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente. A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección. Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

 

Letslaw es un despacho de abogados especializado en derecho de internet, derecho digital y de los negocios.