El 1 de octubre de 2019, el Tribunal de Justicia de la Unión Europea (TJUE) se pronunció sobre el consentimiento de los usuarios a la instalación de cookies en su equipo. En realidad, confirma el Reglamento en vigencia desde mayo de 2018, que establece la obligación de las empresas de informar debidamente al usuario sobre el uso de cookies en su plataforma y recabar su consentimiento expreso.

Según la actual sentencia del TJUE, el consentimiento “supuesto” por medio de una casilla marcada por defecto no puede considerarse consentimiento expreso. Correcto es, en cambio, informar al usuario de qué cookies van a instalarse, con qué objetivo, a qué terceros se va a dar acceso a esos ficheros y durante cuánto tiempo estarán activas en el equipo, para que, en base a esta información, el usuario decida de forma consciente, activa y explícita, consentir a su instalación. El TJUE no diferencia si estas cookies tienen acceso a datos personales o no, puesto que considera que todos los archivos contenidos en el equipo de un usuario pertenecen a su esfera privada y la normativa comunitaria protege al usuario de toda injerencia en su esfera privada.

Esta sentencia responde a una cuestión prejudicial del Tribunal Supremo de lo Civil y Penal de Alemania planteada al TJUE para que interpretara el Derecho de la Unión relativo a la protección de la intimidad en el sector de las comunicaciones electrónicas, en concreto, a partir de la denuncia de la Federación alemana de consumidores a la plataforma de videojuegos online Planet49. Esta sociedad solicitaba el permiso del usuario para la instalación de cookies con una casilla marcada de antemano. Este paso era necesario para poder participar en los juegos. Estas cookies recogían información para anunciar productos de empresas colaboradoras de la sociedad.

Las cookies (“galletas”) son archivos de texto o dispositivos de almacenamiento que el navegador instala en el equipo del usuario cuando visita una página. Estos archivos almacenan datos sobre la visita a una página como, por ejemplo, información de acceso o autentificación y ajustes de idioma, que hacen que las próximas visitas sean más cómodas, al no tener que proporcionar esta información cada vez. A este aspecto de utilidad de las cookies se opone la crítica al considerarlas incompatibles con la protección de la privacidad del usuario. Y es que hay muchas cookies que registran determinados aspectos de los hábitos de navegación, de forma que permiten la individualización de la publicidad en los navegadores. En este sentido, son sobre todo las cookies de seguimiento y de segmentación las que más conflictos generan.

Una cookie contiene generalmente indicaciones sobre su propia durabilidad, así como un número generado por azar que sirve para reconocer al ordenador (o dispositivo que se use). El almacenamiento de datos mediante cookies se produce de forma anónima. Solo se almacenan datos personales cuando la página requiere autenticación, y conviene saber que solamente puede leer estos datos el navegador que ha creado la cookie.

La Directiva 2009/136/CE de 25 de noviembre de 2009 fue puesta en marcha por el Parlamento Europeo con la intención de garantizar y fortalecer la protección de los datos personales de los usuarios, debiendo ser integrada en los respecticos marcos legales de los Estados miembro.

La directiva de ePrivacy, la llamada ley de cookies, prevé que el usuario que visita una página sea informado de una forma clara e inequívoca sobre el uso de cookies y que deba aceptar explícitamente el registro de sus datos personales. La única excepción la constituyen aquellas cookies que técnicamente son necesarias para el funcionamiento de la página, como pueden ser aquellas requeridas para la implementación de un servicio solicitado por el usuario. Estas son, por ejemplo, las cookies de sesión para el ajuste del idioma, los datos de acceso y del carrito de la compra o las de flash para la reproducción de contenidos multimedia.

Para poder aplicar la mayoría de las cookies se requiere la aprobación del usuario. Esto incluye todas aquellas cookies que técnicamente no son necesarias para el funcionamiento de la página web, como las cookies de seguimiento que se usan en el marco del retargeting, las de análisis o las de redes sociales. La directiva europea no indicaba, sin embargo, cómo debían de aplicarse estas instrucciones. En especial en los aspectos referentes a la declaración de conformidad por parte de los usuarios de páginas web, la directiva deja un amplio margen de aplicación a los países.

El nuevo Reglamento de Privacidad y Comunicaciones electrónicas se ocupará de regular la aplicación de dichas instrucciones. El borrador actual prohíbe todas las cookies que no sean técnicamente necesarias, salvo aprobación previa del usuario. En el primer borrador solo se habla de aplicaciones web, pero en la nueva versión de 22 de marzo de 2018 se incluyen todos aquellos tipos de comunicación basada en máquinas, tales como aplicaciones, correo electrónico y la recopilación de metadatos para llamadas VoIP. Además, también se aplica a la comunicación entre dos máquinas, llamada M2M.

El Reglamento de ePrivacy también afectará a los proveedores internacionales de servicios de comunicación, ya que estipula que sus normas se aplicarán a todos los terminales que se encuentren dentro de las fronteras de la UE. En este sentido, es irrelevante dónde tiene lugar el tratamiento de datos de estos servicios.

Por ejemplo, en el caso de EE.UU., la normativa relativa a la protección de datos es mucho menos estricta. En el conocido como caso Microsoft-Irlanda un tribunal estadounidense quiso obligar al gigante tecnológico a hacer accesible al gobierno de EE.UU. los datos de sus clientes europeos. Microsoft tiene su sede en los Estados Unidos y, por lo tanto, está sujeta a la legislación aplicable en dicho país. Sin embargo, los datos de dicha compañía se almacenan y protegen en Alemania a través de una filial de Deutsche Telekom llamada T-Systems. Si se tiene en cuenta que la legislación estadounidense solo se aplica en su territorio, la demanda podría evitarse en un primer lugar, pero lo cierto es que el proceso sigue en curso. Queda por ver hasta qué punto las legislaciones europea y estadounidense se interferirán mutuamente en el futuro.

Dado que el ámbito de aplicación del reglamento sobre privacidad electrónica se extiende a todos los terminales que accedan a los servicios de comunicación en Europa, las empresas norteamericanas deberán considerar si localizan sus ofertas para Europa, limitándose así sus opciones de colocar publicidad segmentada, o si obligan a sus clientes a “pasar por caja”.

Por medio de la directiva, la Unión Europea brinda una mayor protección a los datos personales de los usuarios de Internet y distingue entre cookies técnicamente necesarias y no necesarias:

1. Cookies técnicamente necesarias: el almacenamiento de datos necesario incluye las cookies que son clave para el funcionamiento de una web. Esto significa, por ejemplo, guardar los datos de inicio de sesión, la cesta de la compra o la selección del idioma mediante las llamadas cookies de sesión (que se borran cuando se cierra el navegador).
2. Cookies técnicamente no necesarias: los archivos de texto se consideran cookies no necesarias, que no solo no sirven para la funcionalidad de la página web, sino que recogen otros datos. Estas incluyen:

• Cookies de seguimiento
• Cookies de segmentación
• Cookies de análisis
• Cookies de redes sociales

De acuerdo con la ley de cookies, las cookies necesarias se pueden establecer desde un principio, es decir, sin el consentimiento previo del usuario. En cambio, los visitantes de una página web deben dar su consentimiento antes de que las cookies guarden datos innecesarios. Por lo tanto, la directiva sobre cookies de la UE requiere una solución opt in para las cookies innecesarias.

Esa es la diferencia entre el opt out y el opt in:

• Opt out: las cookies se establecen desde el principio, los usuarios solo pueden objetar el almacenamiento de cookies más tarde.
• Opt in: las cookies no se establecen desde el principio, sino solo cuando el usuario está de acuerdo con el almacenamiento de datos.

El primer borrador del reglamento sobre privacidad electrónica requería que el fabricante estableciera el nivel más alto de privacidad en la configuración del navegador. De esta forma, el navegador no aceptaría cookies de terceros y se eliminarían los banners que actualmente se utilizan tanto, pues los usuarios tendrían que decidir activamente aceptar las cookies cada vez que instalen un software. Este requisito se basaba en el principio de la “privacidad desde el diseño” (privacy by design) ya establecido en el RGPD. Sin embargo, un borrador más reciente suaviza las normas sobre la configuración del navegador. El usuario entonces deberá seguir decidiendo en función del dominio si acepta o no las cookies.

La llamada prohibición de vinculación señala que el uso de un sitio web no puede depender de si los usuarios están de acuerdo con el uso de cookies. Sin embargo, existen propósitos legítimos que pueden requerir el uso de cookies. Por ejemplo, si un usuario necesita identificarse para realizar operaciones bancarias online o desea utilizar la cesta de la compra de una tienda en línea, a menudo se requieren cookies. Si los operadores del sitio web informan claramente a los usuarios del propósito, el consentimiento y el uso pueden vincularse.

La ley de cookies se encuentra contenida en el Real Decreto-ley 13/2012 de 30 de marzo de 2012, publicado en el BOE el 31 de marzo de 2012 y en vigor desde el 1 de abril del mismo año (es de cumplimiento obligado bajo pena de sanción). Reflejo de la Directiva europea de 2009, este decreto-ley se integra en la Ley 34/2002 de 11 de julio de servicios de la sociedad de la información y de comercio electrónico, ampliándola en el artículo 22 con la directiva europea sobre cookies. En él queda clara la necesidad de contar con la conformidad del usuario respecto al uso de sus datos, mediante la instalación en el terminal de dispositivos de almacenamiento, tales como cookies y la necesidad de avisar al usuario previamente. Solo se excluyen aquellas cookies necesarias para el funcionamiento de la página.

Un año después, en 2013, la Agencia Española de Protección de Datos publica la Guía sobre el uso de cookies, que fija, a partir de la ley europea, de qué se tiene que informar, cuándo y cómo.

En ella se especifica el procedimiento que se ha de usar para explicar el uso de cookies al usuario y pedir su consentimiento (página de bienvenida, ventana emergente, cabecera o pie de página, paso previo de aceptación antes de descargas o reproducciones), así como qué dispositivos de almacenamiento se excluyen de la normativa, como cookies de acceso, de autenticación, de ajustes personales o de sesión (token).

En general, el almacenamiento de las cookies no necesarias para la página ha de ser consentido por el usuario, al cual se ha de informar sobre el uso que tienen, qué información almacenan, si pueden identificar o no al usuario, incluso aunque el usuario haya ajustado el navegador para que acepte un tipo determinado de cookies. Se suele incluir un enlace a la página de protección de datos donde se incluye una Política de Cookies con la siguiente información:

• Qué datos se recopilan
• Por qué se almacenan estos datos
• Durante cuánto tiempo serán almacenados
• Quién es el responsable del almacenamiento de la información
• Cómo se puede cancelar el consentimiento

Es importante proporcionar información sobre las cookies en la política de privacidad de una manera clara e inequívoca y siempre accesible. Usar un banner, una ventana emergente o una página independiente depende de varios criterios, principalmente técnicos. Una ventana emergente podría ser incompatible con algún navegador y, por lo tanto, ser bloqueada, mientras que una página web independiente podría confundir al usuario y aumentar la tasa de rebote.

Los administradores de sitios web deberán seguir de cerca la evolución de la aplicación de la conocida como ley de cookies, ya que la situación jurídica cambiará definitivamente con el Reglamento de ePrivacy. Aunque todavía no está claro cuán estricto será, este nuevo reglamento contiene más disposiciones acerca de la seguridad de los datos personales de los usuarios. Pero mientras la regulación de la privacidad electrónica no sea todavía legalmente vinculante, las cookies caen dentro de la esfera de los datos personales definidos en el capítulo 1 del RGPD, ya que recolectan datos que hacen al usuario identificable de cualquier manera (número de identificación, perfil de usuario, etc.).