Novedades que afectan a las páginas web de los despachos de abogados que utilizan cookies

Por: Francisco Pérez Bes, vicepresidente de ENATIC y miembro de la Comisión Jurídica del Consejo General de la Abogacía Española

El nuevo escenario normativo

La última modificación del artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (comúnmente conocida como LSSI), se produjo el 1 de abril de 2012, fecha de la entrada en vigor del artículo 4.3 del Real Decreto Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista (B.O.E. de 31 de marzo de 2012).

La nueva redacción dada a dicho artículo introdujo una serie de cambios que afectan directamente a los responsables de páginas web que, actuando como prestadores de servicios de la sociedad de la información, utilizan cookies. Dentro de este supuesto se encuentran la práctica totalidad de páginas web de despachos de abogados que prestan sus servicios en España.

La nueva redacción del artículo 22.2 de la LSSI señala que “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”.

Ha pasado más de un año desde entonces, sin que se tuviera claro cuáles eran las concretas obligaciones a las que debían dar cumplimiento los prestadores de servicios ni cuál debía ser su postura ante la nueva redacción del artículo 22.2 antes transcrito. Tampoco desde la autoridad de control española, en este caso la Agencia Española de Protección de Datos (AEPD), se adoptó una postura oficial al respecto, hasta que el pasado mes de mayo se hizo público un documento, en formato de guía interpretativa elaborada conjuntamente por la autoridad de protección de datos y las asociaciones IAB, Adigital y Autocontrol (en adelante “la guía de cookies”), donde se daban a conocer una serie de orientaciones para que las páginas web pudieran cumplir con las obligaciones impuestas en la LSSI.

Con carácter previo, cabe destacar que dicha guía lleva a cabo una distinción entre distintos tipos de cookies, ya que no todas las cookies quedan sometidas a las obligaciones señaladas en el artículo 22.2 de la LSSI, sino que algunas de ellas, como es el caso de las cookies técnicas (las imprescindibles para garantizar la navegación en esa web y el uso de los servicios ofrecidos en ella, tales como, por ejemplo, las cookies de identificación de sesión o de recuerdo del pedido del usuario), o las cookies de personalización (las usadas por el usuario para adaptar su sesión a sus necesidades concretas, por ejemplo, las cookies que permiten la función de configuración del idioma de la web, entre otras), se ha entendido que están exentas de la aplicación del artículo antes referido.

En cambio otro tipo de cookies, como son las de análisis (usadas por la gran mayoría de páginas web por su función analítica del tráfico que accede a la web) o las publicitarias, entran de lleno en el ámbito de aplicación de la norma.

1. ¿Qué tipos de cookies utiliza la web de mi despacho?

A los efectos de poder identificar qué clase de cookies están presentes en nuestra página web y de qué tipo es cada una, se recomienda llevar a cabo una auditoría técnica que nos permita conocer con precisión qué tipo de dispositivos utiliza nuestra web.

Esta auditoría nos será de gran utilidad a la hora de poder dar información completa y precisa a nuestros clientes/usuarios que contactan, online, con nuestro despacho.

En todo caso, antes de llevar a cabo tal revisión, puede ser recomendable llevar a cabo un ejercicio interno, consistente en utilizar algunas herramientas gratuitas que actualmente tenemos a nuestra disposición en el mercado, y que nos permiten identificar con claridad qué tipo de cookies pretende instalar nuestra página web a aquellos usuarios que acceden a la misma. Entre estas herramientas encontramos, de un lado, los servicios de páginas web especializadas que pueden realizar este análisis de un modo sencillo, tales como Evidon (www.evidon.com), Cookie Consent (www.cookieconsent.com), All About Cookies (www.allaboutcookies.com) o Abine (www.abine.com)

2. Una vez hemos confirmado el uso de cookies, ¿qué obligaciones debo cumplir?

Una vez hayamos identificado que nuestra página web utiliza cookies que no estén exentas de la aplicación de la Ley, según hemos visto, deberemos proceder a dar cumplimiento a las obligaciones de información y obtención del consentimiento del usuario, tal y como vienen exigidas por la LSSI.

a)      Obligación de información

En cuanto a la obligación de información, sería preciso –según señala la Guía de Cookies- incluir en el encabezamiento de la página web, un enlace permanente y visible (por ejemplo, destacando su inclusión a través de un contraste y tamaño adecuados) titulado “política de cookies” o similar, diferenciado de la tradicional “política de privacidad” y de los “términos y condiciones” que suele incluirse, y que lleve a un apartado específico en el que se ponga a disposición del usuario información clara y completa referente al uso de cookies.

En este nuevo apartado, deberá incluirse, de una manera comprensible para el tipo de usuario medio que acceda a nuestra página (es decir, empleando un lenguaje lo más alejado posible de terminología  técnica), información relativa a las cookies (¿qué son y para qué sirven?) y a las características de las cookies que son utilizadas en la página en cuestión (tipo de cookies, si son cookies propias o de terceros, etc.), indicando de manera clara cuál es la finalidad y uso que se están dando a aquellas, así como el procedimiento para revocar el consentimiento y eliminar las cookies que, en su caso, hayan podido ser instaladas en el navegador del visitante (en sus distintas modalidades y versiones) al acceder a nuestra página web. Vaya por delante que en relación a este último extremo viene siendo muy utilizado el sistema denominado “cookie control”, aunque su adaptación al sistema español no ha sido validada aún por la AEPD.

b)      Obligación de obtención del consentimiento explícito del usuario

Junta a la obligación de información, la segunda gran obligación es la de la obtener el consentimiento del visitante a nuestra página, con carácter previo a la instalación de las cookies que utilicen nuestra web. Es decir, que no podrá procederse a la instalación de cookies hasta que hayamos obtenido el consentimiento del usuario para ello, de manera que el mero acceso de un usuario a la página web de nuestro despacho no debe considerarse actuación suficiente para poder llevar a cabo dicha instalación.

La única manera de proceder legalmente sería la de obtener el consentimiento del usuario que accede a la web, bien a través de una autorización expresa (pe. haciendo click en alguna opción en que se le solicite su consentimiento) o bien explícitamente (pe. si continúa navegando en nuestra página de algún modo). En caso contario (si no realiza ninguna de esas actividades, o bien se opone expresamente en el caso de que hayamos ofrecido esa opción), no deberíamos instalarle las cookies de análisis o publicitarias que, en su caso, podamos estar utilizando.

Pero, como hemos indicado anteriormente, estamos ante un consentimiento que debe ser informado en todo caso, por lo que debe ir precedido de una información mínima que permita sostener que tal consentimiento ha sido debidamente prestado, y que puede llevarse a cabo a través de, entre otros, la inclusión de un aviso visible en la propia página en el que se advierta al usuario de una serie de información.

En cuanto al formato y localización de dicho aviso, éste podría consistir en un banner, un cuadro de texto, un pop-up o similar, que sea claramente visible para el usuario y que se mantenga accesible para el usuario hasta que éste realice la acción requerida para la obtención del consentimiento.

En cuanto a su contenido, la información que compone dicho aviso deberá incluir, como mínimo, la siguiente:

–          Advertencia del uso de cookies no exceptuadas que se instalan al navegar por dicha página o al utilizar el servicio solicitado.

–          Identificación de las finalidades de las cookies que se instalan.

–          Información sobre si la instalación y uso de las cookies será solo del editor responsable de la web (cookies propias), o también de terceros asociados a él.

–          En su caso, advertencia de que si se realiza una determinada acción (pe. haciendo click, scroll down, etc.), se entenderá que el usuario acepta el uso de las cookies.

–          Un enlace a la política de cookies (o a otro apartado) en la que se incluya una información más detallada.

La Guía de Cookies ofrece un ejemplo de formato que se considera adecuado a tales fines, y que deberá adaptarse a las necesidades de nuestro despacho según el caso concreto:

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.