Consentimiento del uso de las Cookies

Consentimiento del uso de las Cookies

Parece ser que se van despejando los interrogantes que generó la transposición de la directiva europea sobre el uso de las cookies. Pero no podemos decir que tengamos buenas noticias. Las autoridades europeas de protección de datos (conocidas como el Grupo de Trabajo del artículo 29) se reunían hace unos días para adoptar un dictamen sobre la exención a la obtención del consentimiento para el uso de las cookies. Se trata de poder explicar que tipo de cookies se podrían utilizar sin necesidad de contar con el consentimiento del usuario que visita la web, y para cuales deberemos utilizarlo.

En primer lugar, y antes de crear más dudas sobre las cookies, creo necesario distanciar las cookies de la normativa de Protección de Datos. Su regulación depende de la Ley de Servicios de la Sociedad de la Información (más conocida como LSSI), que en ningún momento diferencia a aquellas cookies que recaban datos personales, de las que no lo hacen. Por tanto, aunque dispongamos de un tipo de cookies que únicamente recoja datos agregados o anónimos, deberemos disponer de un mecanismo que permita recabar el consentimiento del usuario antes de que éstas sean almacenadas.

La LSSI plantea únicamente dos criterios para exceptúan el uso de este consentimiento, que son aquellas utilizadas para:

  • Criterio A: efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas”.
  • Criterio B: “la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”.

En estos casos, siempre que las cookies habilitadas tengan como objeto algunos de estos criterios, no se le aplicaría el consentimiento. No obstante, existen posibilidades de que una misma cookie pueda ser empleada con diferentes objetos. Únicamente podrá estar exenta del consentimiento si todas sus finalidades lo están de forma individual. Por ejemplo, si una misma cookie pudiera ser utilizada para recordar las preferencias del usuario y al mismo tiempo sea empleada para analizar el comportamiento del usuario, no podría verse exento del consentimiento. Esta última finalidad no cumpliría con ninguno de los criterios definidos anteriormente.

Los tipos de cookies que si cumplirían con estos criterios serían las siguientes:

  • User input cookies: son las usadas para facilitar la visita del usuario al sitio web, como pueda ser en la elección del idioma para todas las páginas que visite, o el uso del carrito de compra. Podemos catalogarla en el CRITERIO B.
  • Cookies de autenticación: aquellas usadas para poder identificar al usuario una vez se ha logueado correctamente en el sitio web. Son las empleadas por ejemplo en un banco online y por tanto, necesarias para la prestación de este servicio. CRITERIO B.
  • User centric security cookies: aquellas empleadas para la prevención de riesgos de seguridad en el sitio web, como puedan ser las que dispongan de un registro de intentos  fallidos y repetidos en una web. Podemos catalogarlas en el CRITERIO B.
  • Cookies de multimedia: son aquellas que de forma técnica son necesarias para la reproducción de contenidos de video o audio, y que por tanto podemos catalogar en el CRITERIO B.
  • Cookies de balanceo de carga: el tipo de cookies que permiten la distribución del procesamiento web en varios servidores en lugar de uno solamente, que permiten una navegación más rápida. En este caso, nos encontramos con el CRITERIO A.
  • Cookies de customización: son las empleadas para la adaptación del sitio web a las preferencias del usuario, como puedan ser para la selección del idioma. Se podría justificar su utilización con lo dispuesto en el CRITERIO B.
  • Cookies de información social: son las cookies que utilizan las redes sociales para los integrantes puedan compartir información con sus contactos, como puedan ser los típicos comentarios en el tablón de Facebook; que funcionarían de acuerdo al CRITERIO B.

Por tanto podemos concluir de forma que quedarían excluidas de la utilización del consentimiento expreso solamente aquellas, que independientemente de que recojan datos o no, sean imprescindibles para la prestación del servicio del sitio web. Entre otras, deberemos modificar el sistema de configuración de las cookies y solicitar el consentimiento expreso para los tipos de analytics, para aquellas utilizadas con objeto publicitario, o simplemente para conocer el comportamiento del usuario durante la navegación web.

Áudea Seguridad de la Información

Iván Ontañón Ramos

Consultor Derecho TIC

www.audea.com