martes, 18 de septiembre de 2012

Cookies y publicidad: el consentimiento previo (I)



Casi seis meses han transcurrido ya desde la modificación del artículo 22.2 de la LSSI por el Real Decreto-ley 13/2012, de 30 de marzo, y siguen las sombras sobre este apartado en cuanto a su interpretación, en particular en lo que afecta a la publicidad comportamental online.

Como ya se sabe, la nueva redacción dada al citado artículo modifica el antiguo régimen del consentimiento (que era el de consentimiento tácito u opt-out) para aquellos casos en que se proceda a la instalación, en el terminal de un usuario, de herramientas de almacenamiento o recuperación de información de dicho terminal. Herramientas éstas que, en su práctica totalidad, a día de hoy están soportadas en tecnología de cookies.

Así, el primer párrafo del referido artículo 22.2 dispone lo siguiente:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.


Foto: Alberto Paredes (@AlbParedesPhoto). www.albertoparedes.com

De un primer análisis de esta nueva redacción pueden extraerse una serie de conclusiones, como son las de que dicha Ley autoriza el uso de cookies, aunque únicamente en aquellos casos en que el destinatario del servicio haya otorgado su consentimiento para ello, con la excepción recogida en el último párrafo del artículo 22.2 ("Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario"). Que dicho consentimiento debe ser previo a la prestación del servicio en cuestión. Y, por último, que no vale cualquier tipo de autorización, sino que la norma exige que ese consentimiento del usuario se obtenga tras habersele facilitado información suficiente acerca de la utilización de esas cookies.

También el segundo párrafo del artículo 22.2 se refiere al consentimiento del destinatario de servicios dirigido a autorizar que sus datos sean tratados. En este caso, la Ley prevé que tal consentimiento pueda obtenerse a través del propio navegador u otras aplicaciones, lo que simplificaría enormemente esta cuestión desde el punto de vista funcional. En tal caso -prosigue la Ley-, esta solución será admisible siempre que el usuario preste su consentimiento a través de una acción expresa, que deberá tener lugar durante su configuración en la correspondiente fase de instalación o actualización.

Nos encontramos, entonces, en la necesidad de encontrar un procedimiento dirigido a lograr la válida obtención de un consentimiento por parte de un usuario. Por tanto, no debemos olvidar una serie de circunstancias que inciden en dicho proceso. Así, de un lado, y siguiendo con lo mencionado anteriormente, debe tratarse de un consentimiento "informado" (la ley utiliza los términos "se le(s) haya facilitado información clara y completa sobre su utilización"). Por tanto, en este primer estadio se debe garantizar que el usuario ha recibido información clara y completa sobre cuál va a ser el funcionamiento y finalidad de esas cookies, pues de no ser de ese modo, el consentimiento prestado no podrá ser considerado válido a estos efectos.

De otro lado, estamos ante un proceso de solicitud/prestación/obtención del consentimiento de un usuario, por lo que el formato que se emplee para ello deberá, aparentemente, incorporar un grado de intensidad superior al de un simple aviso o mensaje de advertencia de los que se muestran durante la navegación del usuario.

Además, no sólo basta con la obtención del mencionado consentimiento, sino que éste deberá almacenarse debidamente por parte del responsable de su custodia con tal de poder demostrar, cuando así se le requiera, la válida obtención del mismo.

Por último, la propia naturaleza de este acto comporta la facultad de poder revocar en cualquier momento el consentimiento libremente otorgado, lo que nos puede llevar a la discusión acerca de cuál debe ser la duración de ese consentimiento. Sin embargo, considero que no existe motivo alguno que haga pensar que una vez prestado un consentimiento de estas características, éste deba ser renovado periódicamente. Antes al contrario, parece que se trata de un consentimiento que se presta indefinidamente, siempre y cuando se ofrezca permanentemente al usuario la opción de revocarlo en cualquier momento, de forma fácil y gratuita, en el mismo sentido que la regulación del consentimiento que establece la normativa sobre protección de datos.

Llegados a este punto, hay que pensar en la aplicación práctica que debe tener la solicitud de este consentimiento. Para ello, es preciso analizar, de un lado, cuál es el mensaje adecuado para poder considerar que el usuario ha prestado su consentimiento de un modo válido y cumpliendo los requisitos que exige la Ley. Y, de otro lado, los diferentes medios de que disponemos a la hora de hacer llegar ese mensaje al destinatario.

Esta primera pregunta constituye la principal duda que se está discutiendo en este momento, en particular en lo relativo al contenido y funcionamiento de una solicitud de estas características, y que es, precisamente, el punto en el que se centran las actuales conversaciones entre la Industria y la Administración competente en esta materia, que en España son la SETSI y la AGPD.

En cuanto a la segunda cuestión, hay que pensar en los diferentes tipos de terminales que hay actualmente en el mercado y sus diferentes formatos y tamaños de pantalla, con tal de poder consensuar un diseño que permita cumplir con los requisitos legales en todos ellos. Así, por ejemplo, mientras las pantallas de tablets pueden equipararse, en tamaño, a las de un PC o un ordenador portátil, encontraremos mayores dificutades cuando de un smartphone se trate. También para las smart TV van a tener que preverse este tipo de avisos, en cuanto son terminales igualmente restreables.

Desde luego que cuanto más estándar sea el formato finalmente elegido (formato y contenido, funcionamiento, lugar y duración de la aparición en pantalla de ese aviso), más facil será para la industria su inclusión y gestión, y más seguridad tendrá el usuario, quien al cabo de poco tiempo identificará con facilidad qué es y en qué consiste la advertencia que se le muestra.

No se están escatimando esfuerzos a la hora de diseñar propuestas que satisfagan a las autoridades que protegen a los usuarios en Internet, como tampoco son pocas las dudas que todavía se plantean en relación al uso que algunas empresas quieren hacer de la información que, involuntariamente y a modo de rastro, van dejando los usuarios durante su navegación. En los próximos posts analizaremos algunas de las soluciones que se han ido planteando en otros países, con tal de poder facilitar la valoración de su idoneidad.


No hay comentarios:

Publicar un comentario