¿Es equiparable el fingerprinting a las cookies?

En ocasiones, la más mínima divergencia entre dos normas puede dar lugar cambios sustanciales en el modo en que actúan las empresas obligadas a cumplirlas. Un hecho que se vuelve especialmente delicado cuando el desajuste se produce entre una Directiva europea y la Ley que la transpone al ordenamiento nacional… y que, cuando versa sobre un texto sujeto a diferentes interpretaciones, puede poner en un brete al jurista más avezado. Algo así está ocurriendo con la vigente normativa de cookies.

Uno de los artículos grabados a fuego en la memoria de todo abogado es el tercero de nuestro Código Civil, que comienza diciendo: “Las normas se interpretarán según el sentido propio de sus palabras”. Una sencilla afirmación que nuestro Tribunal Supremo ha calificado pomposamente como “el primer canon hermenéutico en la exégesis de la norma” (o lo que es lo mismo, el principal criterio a emplear cuando nos vemos en la necesidad de interpretar un texto legal)… y que, aparentemente, se da de bruces con el reciente Dictamen 9/2014, del Grupo del Artículo 29.

Como es altamente probable que no sepan de qué les estoy hablando, permítanme ponerles en contexto: Europa modificó en 2009 las reglas aplicables a las cookies, obligando a los sitios web a recabar el consentimiento informado de los usuarios para poder utilizar estos dispositivos. Esta normativa, por cierto, ha provocado la proliferación de avisos a la que tan acostumbrados estamos y que tantos crímenes contra la usabilidad están propiciando.

Concretando un poco más, el cambio legislativo en cuestión se aplica, literalmente, al “almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario”, una complicada perífrasis para evitar utilizar la palabra “cookie”, con la esperanza de abarcar otras técnicas similares que pudiesen surgir en un futuro. En esencia, la normativa dice: si quieres individualizar un ordenador a partir de la información que contenga a efectos, por ejemplo, de servir publicidad basada en el historial de navegación de un usuario, tienes que recabar su consentimiento. Y si no lo haces, te expones a un expediente sancionador.

Las principales damnificadas por esta norma  eran las empresas de publicidad online (que, no lo olvidemos, financian gran parte de los contenidos a los que podemos acceder en la red), y éstas reaccionaron a esta amenaza como cabía esperar: buscando nuevas técnicas de rastreo de los usuarios que no se viesen afectadas por esta limitación. De entre ellas, destaca la denominada “device fingerprinting”, o huella electrónica del dispositivo, que logra distinguir unos ordenadores de otros por sus parámetros de configuración con una precisión asombrosa.

Y he aquí que el Grupo del Artículo 29 (que agrupa a las autoridades de protección de datos de la Unión Europea) lanzó un Dictamen avisando a navegantes: con la redacción de la Directiva, la instalación de una cookie no es la única acción que obliga a informar y recabar el consentimiento de los usuarios: basta con acceder a información ya almacenada en sus equipos. Dado que el fingerprinting implica un acceso de tales características, no sirve para evitar la aplicación de la normativa.

Pues bien, esta interpretación, aparentemente impecable, se encuentra con un obstáculo en nuestro querido país. La transposición de la Directiva se realizó, en España, mediante una modificación de la Ley de Servicios de la Sociedad de la Información en la que el legislador optó por una redacción ligeramente distinta a la empleada por Bruselas: nuestra norma se refiere a la utilización de “dispositivos de almacenamiento y recuperación de datos en equipos terminales”, y quédense con la palabra “dispositivos”, porque su relevancia es mayor de la que parece.

La RAE define dispositivo como “Mecanismo o artificio dispuesto para producir una acción prevista”: un sustantivo claro y preciso que define el ámbito de aplicación de la normativa en nuestro país: son sujetos obligados aquellos que colocan algún tipo de instrumento, apto para permitir almacenar y recuperar datos, en el equipo del usuario. Tal es la interpretación que se deriva del sentido propio de las palabras del actual artículo 22.2 de la LSSI… o, cuando menos, eso es lo que parece desprenderse de su lectura.

La cuestión, como decíamos, es que el fingerprinting verifica ciertos parámetros técnicos del equipo (tales como el navegador utilizado, la resolución de la pantalla, los plugins y complementos instalados, los tipos de letra disponibles…) a efectos de individualizarlo con respecto a otros, pero no precisa de la utilización de dispositivo alguno.

Llegados a este punto, me pregunto: ¿qué ocurriría si la Agencia Española de Protección de Datos se encuentra con un caso en el que una empresa, sujeta a la legislación española, utiliza el fingerprinting sin consentimiento de los usuarios de su web o aplicación? Una primera aproximación sugiere que la conducta no debería ser sancionada, pues las Administraciones Públicas están sujetas al principio de legalidad, y la normativa española es lo suficientemente clara como para no dejar lugar a dudas acerca de su aplicabilidad: si no se “utilizan dispositivos”, se cae fuera del ámbito de la LSSI. Sin embargo, el principio de primacía del Derecho comunitario y su efecto directo vertical podrían llevar a la AEPD a alinearse con las tesis del Grupo del Artículo 29 y a tratar de sancionar a la empresa en cuestión. ¡Todo un dilema!

En definitiva, estamos ante un nuevo caso en el que lo que aparentaba ser una mínima divergencia conduce a una clara sensación de incertidumbre. Esperar a una sentencia del Tribunal de Justicia de la Unión Europea para aclarar si la normativa española se ajusta o no a la Directiva puede llevar años, algo inconcebible si medimos los tiempos desde la perspectiva de los negocios online. Entretanto, los juristas especializados continuaremos asesorando a nuestros clientes con lo que tenemos: una norma potencialmente inaplicable, y una sensación de inseguridad jurídica palmaria. ¡Para variar!

 José Leandro Núñez García

Socio en Audens y vocal en Enatic