Nota aclaratoria de la AEPD al artículo “Nuevo vuelco en materia de cookies”

Recientemente se ha publicado en este blog un artículo titulado “Nuevo vuelco en materia de cookies” que incurre en varios errores de apreciación y vierte juicios infundados sobre la actuación de la Agencia Española de Protección de Datos (AEPD) en relación con la interpretación de la denominada normativa de cookies.

En el informe al que se alude no hay elemento alguno que permita sostener que la Agencia ha dado un vuelco en relación con las orientaciones contenidas en la “Guía sobre el uso de las cookies”. Y resulta una licencia gratuita afirmar que se trata de un “nuevo” vuelco cuando no se hace referencia a ninguno anterior que, por lo demás, no existió. Igualmente impropio es apuntar, como se hace en el artículo, que la Agencia contribuye a generar inseguridad cuando todas sus actuaciones en relación con esta compleja cuestión han estado siempre orientadas precisamente a clarificar cómo cumplir la ley y, por tanto, a proporcionar seguridad jurídica.

Como es sabido, la regulación sobre cookies se modificó sustancialmente en el año 2012 mediante una reforma de la ley 34/2002, que sustituyó el anterior sistema basado en la información al usuario y la posibilidad de ejercer el derecho de oposición por la exigencia de un consentimiento informado para su utilización.

La Agencia Española de Protección de Datos ha tratado en todo momento de favorecer el cumplimiento de la nueva normativa mediante una aproximación flexible y progresiva, consciente del notable impacto que este cambio tiene para muchos sectores de negocio y de la pluralidad de afectados. En lugar de dictar directamente unas reglas o instrucciones vinculantes, inició un proceso de diálogo y análisis conjunto con los afectados con el fin de intentar alcanzar fórmulas consensuadas para el cumplimiento de las nuevas prescripciones legales. Fruto del mismo fue la publicación de la ‘Guía sobre el uso de las cookies’, la primera en Europa elaborada conjuntamente por la autoridad de control y los representantes de la industria, y que proporciona directrices y orientaciones para dar cumplimiento a la normativa.

Tanto la nueva regulación -que tiene su origen en una directiva europea- como su aplicación parten de la premisa de que los usuarios de internet deben ser conscientes de que a través de las cookies se analizan habitualmente sus hábitos de navegación y se realizan perfiles muy precisos sobre su comportamiento en internet para muy diversos fines. Y es necesario tener presente que, como también ha reconocido la industria, el usuario medio de internet desconoce qué son las cookies, cómo funcionan, para qué se utilizan y cómo gestionarlas. Este desconocimiento dificulta enormemente que se puedan adoptar decisiones conscientes sobre el uso que los editores de sitios web y terceros vinculados a ellos pueden hacer del análisis masivo de sus hábitos de navegación.

Con objeto de alcanzar la finalidad perseguida por el legislador, el Grupo de Autoridades Europeas de Protección de Datos (GT29) en su Dictamen 15/2011 ha subrayado la necesidad de que la información facilitada a los usuarios para que consientan o rechacen el uso de cookies reúna dos requisitos: la accesibilidad y la visibilidad. En coherencia con ello, la Guía señala que en el momento en el que el usuario acceda a la página web es necesario ofrecer una primera capa informativa en la que se avise que se utilizan cookies, se indique su finalidad, si son propias o también de terceros y se advierta sobre cuál es la acción del usuario de la que se inferirá que presta su consentimiento. Este primer nivel deberá completarse con un enlace a una segunda capa que complete la información que ha de facilitarse al usuario.

En relación con este enlace, la Guía señala que “la accesibilidad y visibilidad de la información sobre cookies se puede potenciar” entre otras fórmulas “a través de la utilización de una denominación descriptiva e intuitiva para el enlace: la utilización de una expresión explicativa como por ejemplo ´política de cookies´ en lugar de una más general como ´política de privacidad´”. Con ello se persigue que el usuario sea consciente de que puede acceder a una información complementaria sobre cookies, un objetivo que no se alcanzaría fácilmente con la mera expresión de “política de privacidad”, ya que este no tiene por qué conocer que las cookies forman parte de dicha política. Y, en esta misma línea, en otro pasaje de la Guía se indica que “a fin de mantener la visibilidad de la información sobre las cookies, esta deberá ser destacada y separada (mediante un hiperenlace distinto, por ejemplo) del resto de la información sobre términos y condiciones de uso o política de privacidad”. Como claramente se deduce del propio tenor, la referencia a un hiperenlace distinto se hace a título de ejemplo, no como una exigencia. Lo requerido es que la información esté destacada y separada de la referida a los términos y condiciones de uso y a la política de privacidad, no que se acceda a ella por un hiperenlace individualizado.

El informe que se comenta mantiene el mismo criterio rector de la visibilidad al insistir en la necesidad de facilitar la información ya señalada en la primera capa -tema que el artículo en cuestión omite-, y añadir que lo esencial para la Agencia “es que la segunda capa sea identificable, es decir, que indique claramente que contiene información sobre cookies, y que sea accesible, es decir, que pueda consultarse”. Y añade que, “desde este punto de vista es válida tanto una segunda capa denominada “política de cookies” como una denominada “política de privacidad y cookies”, reiterando que lo esencial es que “dicha segunda capa sea identificable como tal, y que tenga el contenido mínimo” necesario para completar la información inicial.

No hay pues, “vuelco” alguno en los criterios de aplicación de la ley sino simplemente la reiteración de que la información sobre las cookies debe destacarse de forma que sea visible y accesible para garantizar el objetivo esencial de que los usuarios conozcan su utilización y decidan si la consienten o no. Y este objetivo no puede alcanzarse con un hiperenlace cuya rúbrica sólo diga “política de privacidad” pero sí, tanto con una específica de “política de cookies” como con una que rece “política de privacidad y cookies”, por cuanto ambas indican claramente que contienen información sobre cookies.

La Agencia va a continuar en esta línea de clarificar y facilitar el cumplimiento de la ley, respondiendo a las cuestiones que vayan surgiendo mediante los correspondientes informes y dando a conocer los criterios de sus resoluciones en la página web, con el doble objetivo de garantizar la seguridad jurídica de la industria y los derechos de los ciudadanos. Unos objetivos para cuyo logro en todo momento ha considerado necesaria y siempre ha apreciado la valiosa colaboración de los profesionales especializados en la materia, cuya labor de asesoramiento riguroso resulta imprescindible. Afortunadamente en España contamos con un colectivo de profesionales de la privacidad que ha contribuido y está contribuyendo decisivamente a que el grado de implantación de la normativa de protección de datos sea uno de los más elevados de Europa.

 AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS