Las Cookies son sistemas temporales de almacenamiento de información que permiten a un sitio web guardar y recoger datos de los usuarios a través del ordenador del propio usuario. No tienen por que ser datos relativos al nombre y dirección de la persona o usuario, sino que, mas bien, está enfocado a la recogida de datos relativos a las preferencias de ese usuario.
Entre otras funciones, las denominadas Cookies pueden ser utilizadas para crear un perfil del usuario a través de su navegación y así, poder mostrarle publicidad a medida en otras sitios webs.
La normativa que permite este tipo de sistemas viene recogida en:
- A nivel Europeo: a través del artículo 5.3 de la Directiva 2002/58/CE del Parlamento Europeo y el Consejo, de fecha 12 de julio del 2002 sobre la privacidad y las comunicaciones electrónicas, en relación y de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de fecha 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
- A nivel nacional: a través del artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, en relación y de conformidad con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Así, el artículo 22.2 de la Ley 34/2002 establece:
Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Por tanto, la instalación de Cookies en los terminales de los usuarios está permitida por nuestra legislación (europea y nacional), si bien, precisa para su total legalidad de una serie de elementos a tener en cuenta. Así lo ha establecido el Grupo de Trabajo de Protección de Datos del artículo 29 en su Dictamen 2/2010, sobre publicidad comportamental en línea, adoptado el pasado 22 de junio de 2010 (órgano consultivo, cuyos dictámenes no son vinculantes, aunque si recomendables).
En dicho Dictamen se establece, entre otros, que la responsabilidad del tratamiento de los datos recogidos a través de las Cookies corresponde a los proveedores de las redes de publicidad. Si bien es cierto que, los editores de páginas webs también pueden ser responsables de la primera fase del tratamiento de los datos. Esta fase es la que se corresponde con la transmisión de las direcciones IP de los usuarios, por parte del editor al proveedor de las redes de publicidad, para que éste pueda crear los perfiles y así transmitir publicidad a medida.
Es más, en caso de que el editor transfiera al proveedor de redes publicitarias datos personales identificables del usuario para su posterior tratamiento, puede considerarse al editor tan responsable como al proveedor de redes de la publicidad.
Por eso, para dilucidar las responsabilidades correspondientes, se deberá estar al caso concreto y, en cualquier caso, a lo que establezca el contrato entre el editor y el proveedor de redes publicitarias.
El mismo dictamen recoge que para una implantación de Cookies conforme a la legislación y a la protección de datos del usuario, es necesario que se recoja el consentimiento previo y expreso del usuario, de manera que se le debe informar de forma clara y eficiente al usuario de: la recogida de sus datos, del tratamiento que se le va a dar a esos datos, así como, los fines de dicho tratamiento. Siendo el consentimiento del usuario revocable en cualquier momento. Ni que decir tiene, que la revocación tiene que ser accesible al usuario y, por supuesto, gratuita.
Asimismo, el dictamen recoge que no es ajustado a derecho que cuando un usuario se instala un navegador se de por hecho que otorga su consentimiento para la instalación y utilización de Cookies, teniendo el usuario que denegarlo expresamente en caso de querer rechazar las Cookies. Así el Grupo de Trabajo establece que al instalar un navegador es necesario que el usuario otorgue expresamente su consentimiento para la implantación de Cookies, no que éste esté marcado por defecto.
En la práctica, los usuarios aceptan la implantación de Cookies en su terminal, sin ni tan siquiera conocer qué son, cómo rechazarlas o lo qué implican. Provocando esto un gran perjuicio en el derecho fundamental que tienen los ciudadanos a la protección de sus datos personales. Es por ello, que se está luchando para que los editores y proveedores de redes publicitarias adviertan a los usuarios del uso de las Cookies, así como, de sus consecuencias, para que sean los usuarios, con conocimiento de causa, quienes decidan ceder o no esos datos.
Desde el dictamen se reconoce que es inviable pedir el consentimiento al usuario cada vez que se va a utilizar una Cookie, por lo que, el Grupo de Trabajo recomienda, por ejemplo, que se advierta de las Cookies mediante iconos dentro de la publicidad. También se recomienda que para que el usuario no otorgue el consentimiento de forma indefinida, lo que le provocaría indefensión (aunque pueda revocarlo cuando quiera), se recabe su consentimiento por periodos limitados de tiempo, por ejemplo, anualmente.