Nuevo vuelco en materia de cookies

La Agencia Española de Protección de Datos (AEPD), en su informe con número de referencia 068977/2014, y en contestación a una consulta que enviamos, ha confirmado que es válido tener una “Política de privacidad y cookies” que contenga la información necesaria respecto al uso de las cookies para obtener el consentimiento informado de los usuarios (en adelante, el Informe). Así, la AEPD da marcha atrás al criterio que venía aplicando en cuanto era necesaria una “Política de cookies” separada del texto de la política de privacidad. En otras palabras: nuevo vuelco en la aplicación de la normativa de cookies.

La publicación de la Guía sobre el uso de las cookies (en adelante, la Guía) el 29 de abril de 2013 por parte de la AEPD conjuntamente con las asociaciones de la industria digital Adigital, Autocontrol e IAB Spain, estableció el criterio por el que la información relativa al uso de las cookies requerida para obtener el consentimiento previo e informado del usuario “[…] deberá de ser destacada y separada (mediante un hiperenlace distinto, por ejemplo) del resto de la información sobre términos y condiciones de uso o política privacidad.”.

Por su parte, y siguiendo al Grupo de Trabajo del Artículo 29 en su Dictamen 15/2011 sobre la definición del consentimiento, de 13 de julio de 2011 , la Guía indica que para cumplir con los requisitos de accesibilidad  y viabilidad necesarios para garantizar una información adecuada, ésta debe proporcionarse “A través de la utilización de una denominación descriptiva e intuitiva para el enlace: la utilización de una expresión explicativa como por ejemplo “Política de cookies”, en lugar de una expresión más general como “Política de privacidad” para mejorar la accesibilidad y visibilidad del mensaje.“

Partiendo de esta base, la gran mayoría de páginas webs (periódicos digitales, sitios e-commerce, redes sociales, etc.) realizaron, en mayor o menor medida, el esfuerzo de adaptar sus webs implantando el denominado sistema de información por capas, mediante la cual en la primera capa se advierte sobre el uso de las cookies a través de un banner, mientras que en la segunda capa se informa con más detalle sobre su definición, tipos de cookies utilizados y finalidades (la Resolución de la AEPD R/02990/2013, de fecha 14 de enero de 2014 indica cuál es el contenido mínimo que debe incluirse en este sistema de información por capas).

Pues bien, gracias al Informe, ahora es perfectamente válido que la segunda capa en aquellos sitios webs que utilicen el sistema de información por capas sea una “Política de privacidad y cookies”, sin que sea exigible tener un apartado de “Política de cookies” de manera separada de la política de privacidad como hasta ahora. En este sentido, el Informe indica que “[…] es válida tanto una segunda capa denominada “Política de cookies” como una denominada “Política de privacidad y cookies”. En la segunda capa, en definitivo, lo esencial no es que conste únicamente la política de cookies, sino que dicha segunda capa sea identificable como tal, de forma que su denominación incluya el término “cookies” u otro equivalente que permita determinar su contenido […]”.

Por lo tanto, siempre que la “Política de privacidad y cookies” contenga la información mínima necesaria sobre el uso de las cookies, y como se podrá observar en la imagen que acompaña el presente artículo, el Informe indica claramente que “[…] no existe obstáculo para que la “Política de cookies” no sea un documento independiente de la “Política de privacidad”, siempre que al tener una denominación de “Política de privacidad y cookies” permita identificar su contenido, de modo que éste sea accesible, y se de cumplimiento a los demás requisitos para la obtención de un consentimiento informado.”

Así pues, después que la AEPD haya prácticamente obligado a los servicios de la sociedad de la información a realizar un esfuerzo adicional mediante la aplicación de su criterio de tener una “Política de cookies” separada de la política de privacidad para dar cumplimiento al artículo 22.2 LSSICE y a la Guía, ahora estima aceptable lo que desde un principio parecía lógico, que es que la información relativa al uso de las cookies pudiera quedar incluida dentro de la misma política de privacidad.

Cabe destacar que no hay ninguna previsión legal en la LSSI ni en otra ley que indique dónde debe quedar incluida la información relativa al uso de las cookies.

Por todo ello, una vez más queda en evidencia la inseguridad jurídica que actualmente hay en España en torno al cumplimiento efectivo del nuevo marco jurídico del uso de las cookies desde la transposición de la Directiva 2009/136/CE mediante el Real Decreto-ley 13/2012, de 30 de marzo , por el que se modifica el artículo 22.2 LSSICE, recientemente modificado por la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, el cual poco ha servido para solventar dicha inseguridad.

En este sentido, y en línea con lo que escribí en mi libro “La publicidad online: motor económico con riesgos legales”, el nuevo marco jurídico sigue sin proporcionar a los usuarios un mayor entendimiento del uso de las cookies, y lo que es más importante, tampoco protege de una manera real y efectiva sus derechos fundamentales a la intimidad y privacidad. Por lo tanto, desde mi punto de vista, el actual marco jurídico es ineficaz.

Alex López McVay

Abogado especializado en Nuevas Tecnologías y miembro de ENATIC

Twitter: @alexlopezmcvay

LinkedIn: http://es.linkedin.com/in/alexlopezmcvay

______________________________________________________________________________

NOTA 

En relación con este artículo, la Agencia Española de Protección de Datos nos ha remitido una nota aclaratoria que desde ENATIC reproducimos en el siguiente enlace https://www.abogacia.es/2000/09/01/nota-aclaratoria-de-la-aepd-al-articulo-nuevo-vuelco-en-materia-de-cookies/