A día de hoy, la interpretación generalizada de la regulación de las cookies, en base a lo dispuesto en el actual artículo 22.2 de la LSSI, es la de reconocer la licitud de su utilización, siempre que se cumplan una serie de requisitos por parte de los prestadores de servicios, consistentes básicamente en la obtención previa del consentimiento informado del destinatario de esos servicios.
En efecto, el citado artículo parece referirse a la instalación de dispositivos específicos en los terminales de los usuarios, y su posterior uso:
En efecto, el citado artículo parece referirse a la instalación de dispositivos específicos en los terminales de los usuarios, y su posterior uso:
Los prestadores de servicios podrán utilizar dispositivos de
almacenamiento y recuperación de datos en equipos terminales de los
destinatarios, a condición de que los mismos hayan dado su
consentimiento después de que se les haya facilitado información clara y
completa sobre su utilización, en particular, sobre los fines del
tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal.
A la vista de este artículo de la LSSI española, la primera observación que salta a la mente es la de identificar quién se refiere la ley cuando habla de "prestadores de servicios". El Anexo la LSSI los define como toda "persona física o jurídica que proporciona un servicio de la sociedad de la información". ¿Se refiere, entonces, el artículo 22.2, a la página web en la que te instalarán las cookies cuando accedas a ella? ¿al ad network que te las instalará? ¿al anunciante que las usará? ¿a todos ellos?
A continuación, podemos observar que la norma distingue entre dispositivos de "almacenamiento" y dispositivos "de recuperación de datos", dentro de lo que considera como dispositivos autorizados. Sin embargo, de una lectura detenida del mismo puede surgir la duda acerca de si el concepto "en equipos terminales de los destinatarios" se está refiriendo a los "dispositivos" o a los "datos". La distinción es fundamental, ya que dependiendo de la interpretación que se dé a ese extremo, el enfoque con el que abordar este asunto será completamente diferente.
Foto: Alberto Paredes (@AlbParedesPhoto). www.albertoparedes.com
Para ello, podemos acudir a la redacción del nuevo artículo 22.2 de la LSSI, el cual trae causa -como sabemos- de la última modificación de la Directiva 2009/136/CE, que modifica la conocida como e-Directiva. En particular, de la modificación de su artículo 5.3, cuya nueva redacción es del siguiente tenor literal:
Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE.
Al contraponer ambas redacciones, nos daremos cuenta fácilmente de que el artículo 5.3 de la Directiva no hace mención alguna al uso de dispositivos ni a su eventual instalación en el terminal del usuario, sino que se refiere a la licitud del acceso al terminal del usuario o al almacenamiento de información en dicho terminal, pero no necesariamente a través de la instalación de dispositivo alguno.
La creencia de lo contrario parece provenir de lo que señala el Considerando 66 de la Directiva, en la que se incluye una referencia a las cookies como herramientas, en principio, de lícita utilización. Sin embargo, vemos como tampoco dicho Considerando incluye mención alguna a la necesidad de instalación de dispositivos en los terminales, sino que la referencia a las cookies se hace como finalidad legítima de dicho acceso, dentro del reconocimiento de la licitud de su utilización en determinadas circunstacias. Tal referencia dice:
Puede que haya terceros que deseen almacenar información sobre el equipo de un usuario o acceder a información ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aquellos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso.
En el caso del Considerando 66 de la Directiva, llama la atención que la primera línea haga referencia al deseo de terceros de almacenar información "sobre" el equipo de un usuario, pues la versión en inglés parece querer referirse a la intención de realizar ese almacenamiento "en" el equipo del usuario:
Third parties may wish to store information on the equipment of a user, or gain access to information already stored, for a number of purposes, ranging from the legitimate (such as certain types of cookies) to those involving unwarranted intrusion into the private sphere (such as spyware or viruses).
Pues bien, más allá de lo que pueda parecer un simple error de traducción, sigue sin quedar claro si la prohibición de la norma es la de instalar dispositivos (pe. cookies) en el terminal de los usuarios, o la de acceder al terminal de ese usuario de alguna manera, con alguna de las finalidades antes señaladas (almacenamiento u acceso a información ya almacenada).
Aunque aparentemente irrelevante, esta reflexión nos lleva al análisis del requisito clave en todo este asunto, como es el de la necesidad de obtener el consentimiento previo e informado de los usuarios afectados. Cosa distinta será la reflexión acerca de la validez de ese consentimiento, teniendo en cuenta que, en principio, se parte de la base del anonimato del usuario del terminal concreto. En este sentido, debemos tener presente que el objeto de ese consentimiento debe ser concreto y determinado y que, en este caso, es distinto el solicitar consentimiento para instalar cookies que solicitarlo para acceder a información almacenada en el terminal afectado. Bien es cierto que, a día de hoy, este tipo de acceso se fudamenta, básicamente, en la tecnología de cookies. Sin embargo, nada obsta a que el acceso a la informacion almacenada en un terminal pudiera tener lugar a través de otras herramientas e-tags, web beacons, flash cookies, digital fingerprinting, etc...), las cuales, incluso, puedan llegar, ni tan siquiera, a instalarse en los terminales.
En tal caso, nos podríamos encontrar ante una discrepancia importante entre lo dispuesto por la Directiva y lo establecido en la LSSI española. Es decir, la redacción de la Directiva es, a mi juicio, acertada, por cuanto el objeto jurídico a proteger es el acceso inconsentido (por cualquier medio) a información que, de alguna manera, pueda estar almacenada en el terminal del usuario. O dicho con otras palabras, se protege la decisión del usuario de permitir, o prohibir, a un tercero que acceda, en la forma que sea, a su terminal. De ahí la necesidad de obtener el consentimiento previo informado del usuario afectado. Por el contrario, el artículo 22.2 de la LSSI, más que el propio acceso en sí, parece regular la instalación y uso de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios (pe. cookies), olvidando aparentemente la protección del verdadero deseo del usuario en relación a la protección de su privacidad online. En tal caso, esta última interpretación podría llevarnos a concluir que quedarían excluidas de una presumible ilicitud a aquellas situaciones en las que se accede inconsentidamente a la información almacenada en el terminal del usuario cuando dicho acceso se produce a través de un dispositivo que no se instala en dicho terminal, cosa que, a la vista del espíritu de la Directiva, parecería inaceptable.
