El
pasado 27 de septiembre de 2013 se publicó en el Boletín del Congreso de los
Diputados el recién aprobado proyecto de Ley General de Telecomunicaciones, en
cuya Disposición Final Segunda se incluye una modificación de la Ley 34/2002, de 11 de
julio, de Servicios de la
Sociedad de Información y Comercio Electrónico (en
adelante LSSI). Como diremos al final, la gran novedad es que, si se aprueba
esta reforma, estará ya tipificado como sancionable el hecho de grabar y leer
cookies sin consentimiento previo, lo que hasta ahora no se había tipificado
como tal. Por tanto, se avecinan nuevas sanciones con multas de entre 30.000
hasta 150.000 euros en caso de aprobarse la normativa.
Como
es sabido, desde el pasado 30 de marzo de 2012, fecha en que también se
modificó la LSSI ,
ya se incluyó que las cookies debían estar amparadas en un consentimiento
previo e informado para poder ser utilizadas. Tan solo el art. 22 LSSI
excepcionaba de tal consentimiento a aquellas cookies técnicas o precisas para
la prestación del servicio (cookies necesarias), como por ejemplo las “cookies
de autenticación” que se generan al registrarnos en una web y que tienen por
finalidad avisar de posibles intromisiones.
La
propia AEPD ha elaborado una Guía de Cookies donde se expone cómo
llevar a cabo esa información previa y cómo solicitar el consentimiento, y
dónde se diferencian qué cookies se consideran técnicas o necesarias y cuáles
no. Igualmente, el Grupo de Trabajo del art. 29 incluyó en su Dictamen 4/2012,
sobre la exención del requisito de consentimiento de cookies, una relación
detallada de las mismas.
La
cuestión es de máximo interés puesto que el manejo de Internet, tanto en nuestros
ordenadores como en dispositivos móviles, supone que se ha pasado de un
marketing basado en la intuición, a una toma de decisiones fundadas en datos
reales y actuales de los propios consumidores. La llamada “Segunda economía”
que supone hoy por hoy el comercio electrónico, mueve ya a nivel mundial el
dinero que la primera economía digería en el año 1995. Por otra parte, como
apunta el propio Grupo de Trabajo del Art. 29, en el año 2009 se llegaba a
chequear a un usuario medio unas 2590 veces al mes por algún buscador. Esto es,
si somos usuarios medios, algunos prestadores llegan a leer nuestras
preferencias y gustos miles de veces al mes.
El
negocio, por tanto, del marketing comportamental, es decir, el basado en
los hábitos de conducta, en el comportamiento real de cada usuario, está
servido desde hace años y mueve sumas importantes de dinero. El propio Grupo de
Trabajo del art. 29 elaboró ya en el año 2010 un Dictamen al respecto (Dictamen
2/2010) que resulta de máximo interés.
Expuesto
lo anterior, una investigación sobre el particular nos lleva a plantear las
siguientes cuestiones:
a)¿Se
aplica la normativa únicamente a las “cookies”? Según el art. 22.2
LSSI, se aplica a cualquier dispositivo que permita grabar y recuperar
información en los equipos terminales de los usuarios, en nuestros ordenadores.
Además de las cookies, existen mecanismos como los pixels, archivos de
alojamiento local, Etags, etc. que también permiten monitorizar el
comportamiento de los particulares. Nos referiremos, por tanto, a las “cookies”
en un sentido amplio.
b)¿Por
qué tanto interés en regular las cookies? ¿Captan datos personales? A
través de las “cookies” sólo se pueden saber los gustos o preferencias, entre
otras finalidades técnicas, que se han “pulsado” al navegar desde un terminal.
Por tanto, no siempre permiten asociar esta información a una persona física
determinada o determinable y, en consecuencia, no siempre implican que existan
datos personales.
c)¿Con
cumplir la LSSI ya
se pueden incluir “cookies”? No solo es preciso cumplir la LSSI , sino también la
normativa derivada de la L.O . 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante
LOPD) si esta información está asociada a una persona física. La LSSI se aplicará, por tanto,
en todo momento como “Les especial” (vid. Dictamen 2/2010 G.T. Art. 29)). Pero
en lo no previsto en ella, siempre que, se insiste, se graben datos personales,
se habrá de aplicar lo dispuesto en la LOPD. Esto supone
inscribir ficheros, valorar la calidad de los datos (art.4 LOPD), informar de
los puntos recogidos en el art. 5 LOPD –en complemento con la información del
art. 22.2 LSSI), el ejercicio de derechos “ARCO” (art. 15 y ss LOPD), etc. etc.
Por supuesto, la aplicación de las medidas de seguridad, o la prohibición de
captar datos especialmente protegidos salvo con ciertos requisitos (art. 7 y 8
LOPD) también serían aplicables. Así se destaca, por ejemplo, en el
considerando 24 de la
Propuesta de Reglamento Europeo de Protección de Datos
–de lege ferenda-, en la propia Guía de Cookies de la AEPD o en el Dictamen
2/2010 del Grupo de Trabajo del Art. 29.
d)¿Además
de la LSSI y la LOPD , podría aplicarse alguna
normativa más? A mi juicio sería de directa aplicación el art. 197 del
Código Penal, si estos dispositivos se utilizan inconsentidamente para
averiguar los datos personales de una persona, o incluso de su entorno
familiar. Serían, en mi opinión, equiparables a los dispositivos técnicos de
escucha y grabación, o más concretamente, a la conducta por la que alguien se
apodera o utiliza, “en perjuicio de tercero, datos reservados de carácter
personal o familiar de otro que se hallen registrados en ficheros o soportes
informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o
registro público o privado”, ex art. 197 C.P.
Por
tanto, por esbozar una conclusión general, El bien jurídico protegido es simplemente el evitar que se
monitorice la navegación de los particulares (y empresas puesto que la LSSI se aplica también a
personas jurídicas), lo que puede o no ser objeto de crítica puesto que quizás
no sea en sí negativo. De hecho, resulta de interés que el art. 83 de la Propuesta de
Reglamento Europeo de Protección de Datos, precepto que incluso permite el
tratamiento de datos personales para obtener fines estadísticos en determinados
casos y con soluciones menos complicadas para las empresas que la legislación
actual.
En
consecuencia, ¿qué daño se genera en sí con la inclusión de cookies que
permitan a las empresas tomar decisiones sobre datos reales de comportamiento? En
principio ninguno que afecte a la intimidad, pero lo cierto es que no nos
fiamos y por esta desconfianza surge esta legislación. Está claro que si se
“cruza la línea” y con ello se captan datos personales, tal daño a la intimidad
sería evidente: los prestadores podrían saber todas nuestras preferencias.
Entre tanto, las empresas españolas, y las Europeas, competirán en peores
condiciones que las de otros países, donde no se aplican este tipo de
restricciones. Al menos, como punto positivo, si la propuesta de Reglamento
Europeo de Protección de Datos llega a aprobarse, el art. 3 de dicho texto
obligará a que estas empresas cumplan con la normativa europea si el
tratamiento de la información tiene por objeto “el control de la conducta” de
ciudadanos de la
Unión Europea (art. 3.2.b) ).
En
todo caso, como decíamos al inicio, si ocupamos ahora nuestro tiempo en esta
materia es, entre otras cosas, porque en España no estaba tipificado como
infracción, y en consecuencia no podía sancionarse como tal (ex. Art. 25 CE) el
usar cookies sin consentimiento previo. La propuesta de modificación supone que
el nuevo art. 38.4 LSSI considere infracción leve el «g) Utilizar dispositivos
de almacenamiento y recuperación de datos cuando no se hubiera facilitado la
información ni obtenido el consentimiento del destinatario del servicio en los
términos exigidos por el artículo 22.2.». Ello nos situará en multas de
hasta 30.000 euros por caso. Además, si la conducta es persistente, la sanción
podrá ser de hasta 150.000 euros, pues se tipifica en el art. 38.3 LSSI como
sanción el «i) Ignorar deliberada y continuamente la voluntad manifestada por
el destinatario para que no se instalen en su equipo terminal dispositivos de
almacenamiento y recuperación de datos o seguir tratando los datos recabados
después de que haya revocado su consentimiento.»
Guía
de Cookies
No hay comentarios:
Publicar un comentario