«Una supercookie no es una cookie especial, sino una tecnología diferente que consiste en un enriquecimiento de cabeceras, sin dejar información en el terminal o dispositivo»
Numerosos avances se están produciendo en lo relativo a la obtención de nuestros datos en las redes y fuera de ellas. Las tecnologías, van evolucionando constantemente, y la recogida de datos de navegación de forma desapercibida para el usuario no es una excepción.
Llevamos años hablando de cookies, píxeles de tracking, web bugs… y hoy aprovechamos una reciente sanción de AEPD a Movistar para hablar de las denominadas “Súper Cookies”.
Antes de nada, recordemos qué son las cookies.
Aunque no existe una definición oficial ni legal de las cookies como tal, la ley las regula (la LSSI), no se refiere a cookies, sino a “dispositivos de almacenamiento y recuperación de datos en equipos terminales”. Pero volveremos a esto más tarde.
En definitiva, las cookies son pequeños archivos de seguimiento, que se encuentran en el directorio de la web. Las cookies tienen infinidad de funciones, pero la principal de todas ellas es la de “dejarnos marcados” para poder seguirnos sin necesidad de identificarnos claramente y, de esta forma, adaptar los servicios que nos ofrecen las webs. Así pues, existen diferentes tipos de cookies según su finalidad: cookies publicitarias, cookies analíticas, o incluso simples cookies técnicas para gestionar carritos de la compra y otros procesos similares.
Tipos de cookies
También existen diferentes tipos de cookies según su persistencia:
Cookies de sesión, que son aquellas que permanecen con nosotros el tiempo que nos encontremos navegando por la web, y que desaparecen al abandonar dichas páginas. Y en segundo lugar, la cookies permanentes, que son aquellas que permanecen en nuestro ordenador aunque se haya producido el cierre del navegador. Solo pueden ser eliminados cuando hayan cumplido su función, hayan sido eliminadas manualmente o cuando expire su tiempo de permanencia.
Con las cookies tradicionales el usuario tiene cierto control sobre ellas, ya que puede eliminarlas y limpiar su navegador de las mismas, por otra parte nos encontramos con lo que se ha llamado comúnmente súper cookie o cookie “on steroids”, que dista bastante de lo que es una cookie como se ha explicado anteriormente.
Una supercookie no es una cookie especial, sino una tecnología diferente que consiste en un enriquecimiento de cabeceras, sin dejar información en el terminal o dispositivo.
Las cabeceras ayudan, por ejemplo, a determinar el idioma en el que se va a presentar la web, así buscando desde España una compañía se encuentre situada en Estados Unidos podrá remitirnos a su web en español si así lo tuviera configurado. Todo esto está muy bien, a no ser que estas cabeceras den información extra a la empresa sin que el usuario se de cuenta, un ejemplo de esto podría ser la comunicación sin permiso de datos del usuario como datos de geolocalización en función de la IP, número de teléfono, etc.
Su forma de actuación es visitar una web e indicar al navegador que debe usar el modo de protocolo seguro. La reacción del navegador será enviar piezas de información (flags), que es lo que permite a la súper cookie saltarse la privacidad para obtener la información.
La supercookie de Movistar
Este es el caso de Movistar, que ha recurrido a una supercookie o enriquecimiento de cabecera, para poder tener acceso a los datos privados de los usuarios, esto no hubiera sido un problema si la entidad hubiera comunicado a dichos usuarios la existencia de esta circunstancia y ellos hubieran decidido continuar con la navegación aceptando los términos. El problema viene cuando existe una falta de conocimiento total de este mecanismo.
En este caso la AEPD sostiene que no habría inconveniente a la hora de usar esta cabecera enriquecida si se hubiera utilizado solo en el caso de los usuarios premium y una vez aceptadas las condiciones, pero dicha circunstancia se extendió a todos los usuarios que accedieron a la web. A pesar de que posteriormente se pasó a desactivar las cabeceras, la empresa fue multada por haber infringido el artículo 22.2 de la LSSI en cual se dice: “que los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre , de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”
Por dicha infracción, catalogada como leve, la empresa fue multada por la AEPD con la cantidad de 20.000 €.
Sin embargo, en nuestra opinión, resulta discutible que se pueda considerar que estas Súper Cookies sean “dispositivos de almacenamiento y recuperación de datos en equipos terminales”, pues esta redacción se pensó para las cookies y, como se ha explicado en este artículo, en este caso estamos ante un supuesto diferente.
Incluso aunque la finalidad sea equivalente, los principios que rigen el Derecho Administrativo Sancionador impiden que se pueda extrapolar por analogía una obligación o prohibición.
Telefónica utilizó este argumento en su defensa pero, sorprendentemente, la AEPD ni siquiera se detuvo a valorarlo en los Fundamentos de Derecho de su Resolución, a pesar de lo cual, Telefónica parece que no ha querido recurrir la sanción.
Pero antes o después, la AEPD tendrá que enfrentarse a la discrepancia entre el literal de la norma y las nuevas tecnologías de seguimiento y tracking de usuarios que no requieren almacenamiento de datos en equipos terminales.
Marta Requena
Departamento Legal – Áudea Seguridad de la Información