Tiempos apasionantemente
convulsos en el mundo jurídico online:
derecho al olvido, persecución de twitteros, usurpaciones de identidad digital,
robo de datos de usuarios en plataformas de internet, nuevo reglamento europeo
de privacidad, etc. Otro de los factores que está influyendo en esta espiral de constante aparición de nuevas
realidades legales TIC es la problemática de las cookies. Todo cambió
respecto al tratamiento legal de esta pequeña
información que envían algunos websites a los navegadores de sus usuarios desde
la modificación del artículo 22.2 de la Ley 34/2002, de 11 de julio, de
servicios de la sociedad de la información y de comercio electrónico (en
adelante LSSI), introducida por el Real Decreto Ley 13/2012, de 30 de
marzo, por el que se transponen directivas en materia de mercados interiores de
electricidad y gas, y en materia de comunicaciones electrónicas.
Desde ese momento, se
han venido analizando las formas jurídico-tecnológicas
más adecuadas en los websites para llevar
a la práctica lo establecido por el citado precepto. Pero las
interpretaciones han sido muchas y variadas. Afortunadamente la Agencia Española de Protección de Datos
(en adelante la AEPD) en los últimos meses está clarificando la situación. Por medio de una sanción y una “guía
sobre el uso de las cookies”, los abogados
especializados en derecho digital tenemos la oportunidad de empaparnos de los criterios de la AEPD
para permitir a nuestros clientes cumplir con la normativa. Pues bien, la segunda
sanción acaba de aterrizar, hace apenas unos días. Aquí está:
La Resolución R/00936/2014:
Debemos trasladarnos al año 2012,
cuando la Unión Cívica Provincial de Consumidores y Usuarios de Palencia y la Junta de Castilla y León
pusieron en conocimiento de la AEPD que la página
web basada en blogspot.com de un Centro
Ecuestre, podría estar incumpliendo
la Ley Orgánica de Protección de Datos y la LSSI.
Los fundamentos para imponer esta sanción no varían en su esencia respecto a los de la primera: falta de información adecuada sobre el uso de cookies y falta de obtención del consentimiento para su instalación. En cambio, el sujeto sancionado sí es diferente y en gran medida. Ya no se trata de sancionar a una PYME y sí a un gigante empresarial transnacional que todos conocemos llamado Google Inc. Específicamente la sanción de 25.000€ impuesta es consecuencia de la incompatibilidad con el artículo 22.2 de la LSSI del servicio de creación de blogs gratuitos que ofrece a través de la tecnología blogger.
Pero, ¿por qué sancionan a Google, Inc. sí la denuncia va dirigida contra un Centro Ecuestre de Palencia
que ha creado un blog?
La AEPD fundamenta su
decisión puesto que Google Inc. es el responsable
del servicio y quien determina la
infraestructura del sistema de blogs gratuitos limitando a los usuarios y editores de los mismos conocer si se
instalan cookies o no:
“ha quedado
acreditado que Google instala y utiliza, por defecto, en los terminales de los
usuarios que acceden a los blogs
creados bajo la infraestructura de su servicio on-line Blogger, y configurados
sin la opción del campo “ID de propiedad web de Google Analytics”, cuatro cookies asociadas a dicha
herramienta analítica (“utma”, “_utmb”,
“utmc” y “utmz”), y una cookie publicitaria (NID).
La descarga de dichos dispositivos y el acceso a los
datos almacenados en los mismos se
produce sin que Google proporcione a los editores que emplean la
infraestructura de Blogger información sobre la utilización de tales
dispositivos propios o de terceros ni los fines concretos para los que se
tratan los datos recogidos (…)
Google tampoco
proporciona directamente a los visitantes que acceden a los espacios web
creados bajo la citada configuración la información relativa a los extremos
anteriormente reseñados al objeto de obtener el consentimiento informado de
los mismos con anterioridad a la
instalación y uso de dichos dispositivos de almacenamiento y recuperación
de datos en sus equipos terminales. (…)”
Asimismo, según la
AEPD tampoco existen opciones de configuración posterior
por parte de los creadores de blogs. Las cookies
están activadas por defecto y así
deben permanecer si se desea utilizar el servicio online:
“Al crear los blogs Google
no ofrece opciones de configuración que permitan a los editores de los
mismos bloquear el uso de las cookies
que dicha compañía instala por defecto
sin informar sobre su utilización y finalidades a las que responde el
tratamiento de los datos (…)”
Pero Google Inc. se defiende y, por una
parte, alega que las cookies usadas
son necesarias para la prestación del servicio
de bitácora blogger y por tanto la entidad acogiéndose al tercer párrafo del artículo 22.2 no
debe cumplir con los requerimientos sobre las cookies comentados. La AEPD niega este hecho y señala que no son necesarias para prestar el
servicio puesto que si se desactivan las
mismas, los blogs creados continuarían funcionando.
Por otra parte, la entidad estadounidense se defiende
argumentando que la AEPD no está
legitimada para actuar puesto que no
se tratan datos personales por medio de las cookies instaladas. La Agencia replica indicando que el artículo 22.2 de la LSSI no contiene ningún mandato legal
que limite el cumplimiento de las obligaciones contenidas en el mismo a la existencia de un tratamiento de datos de carácter personal.
Respecto a la primera
sanción sobre cookies en el que no encontró intencionalidad en la conducta
infractora, en este caso la AEPD acusa a
Google Inc. de actuar con dolo, ocultando
deliberadamente a los editores de los blogs el almacenamiento de cookies y las finalidades perseguidas.
En definitiva,
tenemos ante nosotros una nueva
resolución de la AEPD que consolida
la obligación de información clara, sencilla y completa sobre el uso de las cookies a los usuarios de los WEBSITES
y la necesidad de solicitar el
consentimiento previo a los mismos para poder instalarlas.
La pregunta es: ¿Google Inc. se adaptará a las obligaciones que le impone la legislación comunitaria sobre las cookies como acaba de ocurrir con el “derecho
al olvido”?...
Alberto Cuesta
Abogado en URECA-Legal