Las empresas se atragantan con las ‘cookies’
Las primeras sanciones evidencian las dudas sobre cómo configurar las condiciones de las webs
Primero fue Ikea, después Vueling y, más recientemente, Twitter. En menos de un año, la Agencia Española de Protección de Datos (AEPD) ha sancionado a tres grandes compañías por no tener una política de cookies acorde a las exigencias legales. Los pequeños archivos informáticos que se instalan en los dispositivos de los usuarios mientras navegan por la red se han convertido en un quebradero de cabeza para las empresas debido la complejidad técnica y regulatoria que las rodea.
Las cookies (o galletas virtuales...
Primero fue Ikea, después Vueling y, más recientemente, Twitter. En menos de un año, la Agencia Española de Protección de Datos (AEPD) ha sancionado a tres grandes compañías por no tener una política de cookies acorde a las exigencias legales. Los pequeños archivos informáticos que se instalan en los dispositivos de los usuarios mientras navegan por la red se han convertido en un quebradero de cabeza para las empresas debido la complejidad técnica y regulatoria que las rodea.
Las cookies (o galletas virtuales) son elementos imprescindibles para el funcionamiento de internet tal y como lo conocemos hoy en día. Permiten a las páginas web operar adecuadamente, conocer las preferencias de los visitantes y prestar sus servicios de manera personalizada. “El problema es que, para esto que sea posible, es necesario que se recaben ciertos datos sensibles como la IP del dispositivo, su ubicación e, incluso, contraseñas y números de tarjeta de crédito” recalca Alexis Petit, experto en marketing digital de Dobleo.
Además, es común que las webs inserten cookies de otras empresas de marketing que se dedican a ofrecer publicidad y hacer perfiles de consumo. Orfelia Tejerina, presidenta de la Asociación de Internautas, subraya que esta práctica es, de hecho, la más controvertida porque “permite bombardear con publicidad al usuario (el conocido como spam) y puede dar lugar a brechas de seguridad”.
Para evitar los abusos, la Ley de Servicios de la Sociedad de la Información (LSSI) impuso en 2012 dos obligaciones fundamentales a los prestadores de servicios online: informar sobre las cookies propias y de terceros, y pedir permiso antes de instalarlas. Un consentimiento que, en base al Reglamento europeo de protección de datos, debe ser expreso, libre e inequívoco. De ahí los famosos avisos emergentes o banners que abundan en las webs.
Precisamente, Twitter fue sancionada en febrero por no cumplir estos requisitos. Un particular denunció que la página de inicio no incluía ningún botón que permitiera aceptar o rechazar sus condiciones de uso y solo remitía a otra pantalla en la que se daban complejas instrucciones para configurar la privacidad. La AEPD multó a la tecnológica con 30.000 euros.
Unos meses antes, en octubre de 2019, fue Vueling quien cayó bajo la lupa del organismo. La aerolínea fue sancionada también con 30.000 euros por no dar la opción de gestionar las cookies, aunque finalmente el importe fue reducido a 18.000 euros después de que la empresa reconociese su responsabilidad. Por su parte, la cadena sueca de muebles Ikea tuvo que pagar 10.000 euros debido a que su web descargaba cookies antes de obtener el permiso del usuario.
Todos estos no son casos aislados. Según un estudio de la Universidad estadounidense de Cornell, nueve de cada diez páginas web que operan en la UE se saltan la normativa comunitaria en materia de privacidad, bien porque no informan de las cookies adecuadamente, o bien porque dificultan su bloqueo.
Aviso a navegantes
Como subraya Natalia Martos, consejera delegada de Legal Army, las sanciones de la AEPD “son un aviso a navegantes” para las empresas, pero, a su vez, son fruto de los vaivenes regulatorios que se han producido en España. A finales de 2019 la AEPD publicó una guía de uso de cookies que daba por válidos el botón de “seguir navegando” y los banners que no dejan acceder a los contenidos de las webs si no se acepta previamente la política de privacidad (los llamados muros de cookies). El Comité Europeo de Protección de Datos advirtió poco después que estas fórmulas no eran legales en tanto y en cuanto no se podían asimilar a un consentimiento libre y claro por parte de los usuarios.
La respuesta del organismo regulador se ha producido hace solo unas semanas. La Agencia ha publicado una nueva guía de uso de cookies en la que rectifica sus criterios para adaptarlos a los del resto de Europa y ha dado tres meses a las compañías (hasta el próximo 31 de octubre) para eliminar cualquier sistema tácito de consentimiento. ¿Se disipan así todas las dudas en torno a estos archivos informáticos? Los expertos no lo tienen claro.
Martos reconoce que la modificación de criterios de la AEPD ha puesto fin a dos excepciones que “creaban mucha inseguridad jurídica para los prestadores de servicios online”. No obstante, señala que todavía hay interrogantes sobre si las cookies analíticas (las que ayudan a conocer las preferencias de los consumidores) requieren del mismo nivel de consentimiento que las publicitarias. “Es una cuestión importante que todavía está por definir”, afirma.
Además de la confusión regulatoria, Nelia Álvarez, letrada en Ceca Magán, también observa un problema de actitud en esta cuestión. “A muchas empresas se les han atragantado las cookies porque no les han dado importancia y no han coordinado adecuadamente a sus equipos jurídicos e informáticos”. Falta, en su opinión, mayor conciencia sobre lo relevante que es esta cuestión a la vista del avance del comercio y el consumo online.
Más optimista se muestra Marcos Judel, socio de Audens y presidente de la Asociación Profesional Española de Privacidad (APEP), que cree que las modificaciones que introduce la nueva guía son “muy relevantes desde el punto de vista práctico”. Según explica, estos criterios ayudarán a que las webs integren mecanismos de gestión del consentimiento más respetuosos con la privacidad del usuario, que tendrá la oportunidad de decidir cómo son tratados sus datos de manera pormenorizada.
Atasco legislativo
El comercio electrónico en Europa lleva años aguardando la aprobación definitiva de una norma que está llamada a dar certidumbre a consumidores y prestadores de servicios digitales: el Reglamento de Privacidad Electrónica (conocido como ePrivacy). En 2017, la Comisión Europea presentó una propuesta de texto sobre esta materia que preveía mecanismos para garantizar la confidencialidad de las comunicaciones electrónicas y regulaba el tratamiento de los documentos almacenados en los terminales de los usuarios, entre ellos las denominadas como cookies. La propuesta comunitaria también contemplaba multas de hasta 20 millones de euros o el 4% de la facturación anual de la compañía que hubiese cometido la infracción. La negociación, no obstante, está resultando mucho más compleja de lo esperado y todavía no hay fecha prevista para su votación en el Parlamento Europeo.