jueves, 14 de noviembre de 2013

Opinión Visto en Diariojurídico. La Ley de Cookies: nuevas sanciones. Por Javier González Espadas, socio de Solución Legal, D.P.O, abogado y mediador


El pasado 27 de septiembre de 2013 se publicó en el Boletín del Congreso de los Diputados el recién aprobado proyecto de Ley General de Telecomunicaciones, en cuya Disposición Final Segunda se incluye una modificación de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de Información y Comercio Electrónico (en adelante LSSI). Como diremos al final, la gran novedad es que, si se aprueba esta reforma, estará ya tipificado como sancionable el hecho de grabar y leer cookies sin consentimiento previo, lo que hasta ahora no se había tipificado como tal. Por tanto, se avecinan nuevas sanciones con multas de entre 30.000 hasta 150.000 euros en caso de aprobarse la normativa.

Como es sabido, desde el pasado 30 de marzo de 2012, fecha en que también se modificó la LSSI, ya se incluyó que las cookies debían estar amparadas en un consentimiento previo e informado para poder ser utilizadas. Tan solo el art. 22 LSSI excepcionaba de tal consentimiento a aquellas cookies técnicas o precisas para la prestación del servicio (cookies necesarias), como por ejemplo las “cookies de autenticación” que se generan al registrarnos en una web y que tienen por finalidad avisar de posibles intromisiones.

La propia AEPD ha elaborado una Guía de Cookies donde se expone cómo llevar a cabo esa información previa y cómo solicitar el consentimiento, y dónde se diferencian qué cookies se consideran técnicas o necesarias y cuáles no. Igualmente, el Grupo de Trabajo del art. 29 incluyó en su Dictamen 4/2012, sobre la exención del requisito de consentimiento de cookies, una relación detallada de las mismas.

La cuestión es de máximo interés puesto que el manejo de Internet, tanto en nuestros ordenadores como en dispositivos móviles, supone que se ha pasado de un marketing basado en la intuición, a una toma de decisiones fundadas en datos reales y actuales de los propios consumidores. La llamada “Segunda economía” que supone hoy por hoy el comercio electrónico, mueve ya a nivel mundial el dinero que la primera economía digería en el año 1995. Por otra parte, como apunta el propio Grupo de Trabajo del Art. 29, en el año 2009 se llegaba a chequear a un usuario medio unas 2590 veces al mes por algún buscador. Esto es, si somos usuarios medios, algunos prestadores llegan a leer nuestras preferencias y gustos miles de veces al mes.

El negocio, por tanto, del marketing comportamental, es decir, el basado en los hábitos de conducta, en el comportamiento real de cada usuario, está servido desde hace años y mueve sumas importantes de dinero. El propio Grupo de Trabajo del art. 29 elaboró ya en el año 2010 un Dictamen al respecto (Dictamen 2/2010) que resulta de máximo interés.

Expuesto lo anterior, una investigación sobre el particular nos lleva a plantear las siguientes cuestiones:

a)¿Se aplica la normativa únicamente a las “cookies”? Según el art. 22.2 LSSI, se aplica a cualquier dispositivo que permita grabar y recuperar información en los equipos terminales de los usuarios, en nuestros ordenadores. Además de las cookies, existen mecanismos como los pixels, archivos de alojamiento local, Etags, etc. que también permiten monitorizar el comportamiento de los particulares. Nos referiremos, por tanto, a las “cookies” en un sentido amplio.

b)¿Por qué tanto interés en regular las cookies? ¿Captan datos personales? A través de las “cookies” sólo se pueden saber los gustos o preferencias, entre otras finalidades técnicas, que se han “pulsado” al navegar desde un terminal. Por tanto, no siempre permiten asociar esta información a una persona física determinada o determinable y, en consecuencia, no siempre implican que existan datos personales.

c)¿Con cumplir la LSSI ya se pueden incluir “cookies”? No solo es preciso cumplir la LSSI, sino también la normativa derivada de la L.O. 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) si esta información está asociada a una persona física. La LSSI se aplicará, por tanto, en todo momento como “Les especial” (vid. Dictamen 2/2010 G.T. Art. 29)). Pero en lo no previsto en ella, siempre que, se insiste, se graben datos personales, se habrá de aplicar lo dispuesto en la LOPD. Esto supone inscribir ficheros, valorar la calidad de los datos (art.4 LOPD), informar de los puntos recogidos en el art. 5 LOPD –en complemento con la información del art. 22.2 LSSI), el ejercicio de derechos “ARCO” (art. 15 y ss LOPD), etc. etc. Por supuesto, la aplicación de las medidas de seguridad, o la prohibición de captar datos especialmente protegidos salvo con ciertos requisitos (art. 7 y 8 LOPD) también serían aplicables. Así se destaca, por ejemplo, en el considerando 24 de la Propuesta de Reglamento Europeo de Protección de Datos –de lege ferenda-, en la propia Guía de Cookies de la AEPD o en el Dictamen 2/2010 del Grupo de Trabajo del Art. 29.

d)¿Además de la LSSI y la LOPD, podría aplicarse alguna normativa más? A mi juicio sería de directa aplicación el art. 197 del Código Penal, si estos dispositivos se utilizan inconsentidamente para averiguar los datos personales de una persona, o incluso de su entorno familiar. Serían, en mi opinión, equiparables a los dispositivos técnicos de escucha y grabación, o más concretamente, a la conducta por la que alguien se apodera o utiliza, “en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado”, ex art. 197 C.P.

Por tanto, por esbozar una conclusión general,  El bien jurídico protegido es simplemente el evitar que se monitorice la navegación de los particulares (y empresas puesto que la LSSI se aplica también a personas jurídicas), lo que puede o no ser objeto de crítica puesto que quizás no sea en sí negativo. De hecho, resulta de interés que el art. 83 de la Propuesta de Reglamento Europeo de Protección de Datos, precepto que incluso permite el tratamiento de datos personales para obtener fines estadísticos en determinados casos y con soluciones menos complicadas para las empresas que la legislación actual.
En consecuencia, ¿qué daño se genera en sí con la inclusión de cookies que permitan a las empresas tomar decisiones sobre datos reales de comportamiento? En principio ninguno que afecte a la intimidad, pero lo cierto es que no nos fiamos y por esta desconfianza surge esta legislación. Está claro que si se “cruza la línea” y con ello se captan datos personales, tal daño a la intimidad sería evidente: los prestadores podrían saber todas nuestras preferencias. Entre tanto, las empresas españolas, y las Europeas, competirán en peores condiciones que las de otros países, donde no se aplican este tipo de restricciones. Al menos, como punto positivo, si la propuesta de Reglamento Europeo de Protección de Datos llega a aprobarse, el art. 3 de dicho texto obligará a que estas empresas cumplan con la normativa europea si el tratamiento de la información tiene por objeto “el control de la conducta” de ciudadanos de la Unión Europea (art. 3.2.b) ).

En todo caso, como decíamos al inicio, si ocupamos ahora nuestro tiempo en esta materia es, entre otras cosas, porque en España no estaba tipificado como infracción, y en consecuencia no podía sancionarse como tal (ex. Art. 25 CE) el usar cookies sin consentimiento previo. La propuesta de modificación supone que el nuevo art. 38.4 LSSI considere infracción leve el «g) Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información ni obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.». Ello nos situará en multas de hasta 30.000 euros por caso. Además, si la conducta es persistente, la sanción podrá ser de hasta 150.000 euros, pues se tipifica en el art. 38.3 LSSI como sanción el «i) Ignorar deliberada y continuamente la voluntad manifestada por el destinatario para que no se instalen en su equipo terminal dispositivos de almacenamiento y recuperación de datos o seguir tratando los datos recabados después de que haya revocado su consentimiento.»

Guía de Cookies


No hay comentarios:

Publicar un comentario