Aviso de cookies III: el idioma

Como es sabido, el artículo 22.2 de la LSSI obliga a los prestadores sometidos a esta ley a que faciliten a los usuarios "información clara y completa" sobre la utilización de los dispositivos de almacenamiento y recuperación de datos que pretenden usarse (caso de las cookies) y, en particular, sobre los fines del tratamiento de los datos que vayan a recabarse, con arreglo a lo dispuesto en la LOPD. 

Es decir, de un lado, esta información debe ser puesta a disposición del usuario que accede a esa página web, de manera que el contenido de tal información pueda ser entendido por el usuario, cumpliendo así con esa obligación de claridad exigida por la norma. Y, de otro lado, debe tratarse de información "completa", requisito éste respecto del cual la Guía de Cookies afirma que "la información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender la finalidad para las que se instalaron y conocer los usos que se les darán".

Las referencias a la claridad reabren un viejo debate sobre el uso de diferentes idiomas y lenguas, algunas de ellas incluso co-oficiales en un mismo territorio, puesto que al encontrarnos en la esfera de la obtención de un consentimiento informado, el efectivo entendimiento (que no comprensión) de la información mostrada, resulta esencial para poder afirmar la validez del consentimiento prestado, de conformidad con la legislación española en materia de consumidores y de protección de datos.

Huelga decir que desde un punto de vista estrictamente legal, el uso del idioma propio es una práctica perfectamente lícita a la vista de los artículos 2 a 4 de la LSSI (y los correspondientes en la Directiva). Sin embargo, no podemos negar que, de nuevo ahora con el aviso de cookies, vuelven a plantearse los mismos interrogantes acerca de la validez del consentimiento prestado por el usuario. Si buscamos algunos ejemplos que ilustren lo que aqui se pretende exponer, podemos encontrar los siguientes:

Idiomas del aviso de cookies from pacoperezbes

Resulta innegable que no es fácil encontrar una solución a este problema. Algunos no dudan en acogerse al hecho por el cual, según ellos, el usuario puede traducir ese aviso a través de traductores online. Pero si el argumento que se ha empleado desde el origen de este tema ha sido el de proteger al usuario de internet ante interrupciones de su navegación, no creo que sea defendible. Y tampoco hace falta que nos vayamos tan lejos. Pronto encontraremos avisos de cookies en Euskera o Catalán, en páginas web dirigidas exclusivamente a ese territorio. Quizás entonces retomaremos este debate, aunque habrá dejado de ser un problema de la industria, para pasar a serlo de los consumidores.

Aviso de cookies II: ¿aceptación obligatoria?

"en caso contrario no acepte esta ventana y cese la visita al sitio web"

A la vista de la actual regulación en materia de uso de cookies, por todos es sabido que existen una serie de obligaciones que deben ser ejecutadas por los prestadores de servicios que cumplan con los requisitos recogidos en el artículo 22.2 de la LSSI, entre las cuales está la de la obtención del consentimiento del usuario con carácter previo a la instalación de determinadas cookies en su navegador.

La razón de ser de esta obligación estriba, precisamente, en la de mejorar el funcionamiento del comercio electrónico, de manera que el uso de este tipo de herramientas se haga de una manera respetuosa con los derechos del usuario, en particular -y así lo menciona expresamente la denominada "guía de cookies"-, el de su privacidad. Y es por eso, precisamente, por lo que el legislador impone al prestador de servicios una obligación de información, con carácter previo a la prestación del consentimiento del usuario, en cuanto a la recogida, almacenamiento y comercialización de aquella información que pueda obtenerse gracias al uso de cookies durante la navegación de ese usuario.

Partiendo de esta base, ¿tendría sentido que el uso de cookies se utilizase para restringir el acceso de los usuarios a determinadas páginas web en aquellas circunstancias en las que el usuario no aceptase, total o parcialmente, la instalación de unas determinadas cookies? De ser así, ¿no estaríamos convirtiendo a las cookies, y, en particular, a su preceptiva aceptación, en una obligación para el usuario, contraviniendo así los principios básicos del comercio electrónico y de la libertad de navegación?

En relación a esta cuestión, debe destacarse el apartado viii de la Guía de Cookies, titulado "posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies", el cual es del siguiente tenor literal: 

Podrán existir supuestos en los que la no aceptación de la instalación de cookies impida la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario. No obstante, no podrá denegarse el acceso al servicio en caso de rechazo a las cookies, en aquellos supuestos en que tal denegación impida el ejercicio de un derecho legalmente reconocido al usuario, por ser el acceso a dicha página web sea el único medio facilitado al usuario para ejercitar tal derecho. (Ejemplo, la baja en un servicio telefónico, de acceso a Internet o de otro tipo).

Es decir, dicho apartado (y a salvo la excepción relativa al ejercicio de derechos legalmente reconocidos al usuario) parece contemplar la posibilidad de que, en determinados supuestos, el rechazo a la instalación de cookies por parte de los usuarios permita al prestador del servicio denegarles el acceso a su página web, lo que de facto, estaría convirtiendo al consentimiento del usuario, no en una obligación del empresario a informar adecuadamente al usuario sobre lo que se está haciendo con su privacidad, sino en un auténtico derecho de admisión online de los prestadores de servicios a su página web.

En otros ámbitos, esta posibilidad ha sido igualmente recogida, aunque con una justificación más concreta, esto es, en aquel supuesto en el que desde un punto de vista eminentemente técnico, la aceptación de determinadas cookies puede resultar fundamental para la efectiva prestación del servicio de un modo adecuado. Este podría ser el caso contemplado en el artículo 31.2 del Código de Confianza Online, en el cual se indica que "[...] se avisará de forma clara cuándo queda imposibilitado el acceso o la utilización de un servicio interactivo por ser necesario el envío e instalación de cookies u otros dispositivos o técnicas similares en el terminal del usuario".

Fuera de estos supuestos, el derecho de admisión, que viene regulado en distintos reglamentos de policía de espectáculos públicos y actividades recreativas, tiene una clara finalidad de satisfacer unas necesidades concretas en el mundo físico, especialmente de seguridad. Y, a pesar de ello, las normas imponen una serie de límites, en el sentido de obligar a que se informe adecuadamente sobre en qué supuestos puede ejercerse este derecho de admisión, que en ningún caso podrá dar lugar a situaciones de discriminación.

Pero viendo el redactado de la guía de cookies, puede llevarnos a reflexionar sobre la verdadera naturaleza jurídica de las páginas web, y de si esas pueden considerarse, a estos efectos, como auténticas tiendas o negocios virtuales, cuyo acceso puede ser libremente restringido por su titular. Es decir, cuando abro una página web en Internet dirigida al público en general, ¿tienen los usuarios derecho a poder acceder a ella libremente, o puede su titular obligarles a cumplir con exigencias y requisitos adicionales, de manera que quien no las cumpla vea su acceso impedido? El ejemplo más reciente lo tenemos en la verificación a través de captchas, donde el usuario que no validase su identidad humana vería restringido su derecho de acceso a ese servicio.

Algunos opinarán que el uso de captchas, u otros sistemas similares, están justificados por cumplir un objetivo lícito, como es el de la verificación de la naturaleza humana del usuario al objeto de prevenir, incluso, prácticas desleales por parte de terceras empresas. Sin embargo, ¿encontraríamos justificación en el caso de que el acceso a una página web se viera condicionada a la aceptación de simples cookies publicitarias, cuyo uso no afecta a la prestación del servicio al que pretendemos acceder? Espero que no.

Avisos de cookies I: la información por capas

Es de sobra conocida la problemática que existe en relación a la obligación de obtención del consentimiento previo informado del usuario que, tras la última modificación de la LSSI (en vigor desde el 1 de abril de 2012), se ha impuesto a los prestadores de servicios online que quieran emplear cookies.

A modo de recordatorio, esta nueva obligación viene recogida en el actual artículo 22.2 de la LSSI (redactado por el artículo 4.3 del Real Decreto Ley 13/2012, de 30 de marzo), que comienza diciendo que "los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal".

El concepto de consentimiento previo informado y la obtención efectiva del mismo por parte del prestador del servicio, incluye dos elementos clave a la hora de cumplir, en la práctica, la obligación legal que encierra el artículo antes transcrito, y que son, de un lado, la manera en que se ofrece al usuario la información previa que se le debe facilitar de conformidad con la Ley; y, de otro lado, cómo obtener efectivamente el consentimiento de dicho usuario respecto a la instalación de aquellas cookies cuyo uso quede incluido dentro del ámbito de aplicación de la norma.

En España (a diferencia de otros países), las dudas interpretativas del citado artículo han sido un primer inconveniente a la hora de aplicar, en la práctica, un sistema válido de cumplimiento de esta nueva obligación, lo que ha llevado a la publicación de una guía orientativa que pretende clarificar el alcance de tal obligación, e identificar soluciones válidas en la práctica a la hora de obtener dicho consentimiento previo informado.

Pues bien, en relación a este extremo, la solución más extendida en otros países de nuestro entorno ha sido la de obtener ese consentimiento en dos fases. Así, en un primer momento (o "capa") al usuario que accede a una página web se le muestra un aviso informativo (en formato banner, pop-up o similar), en el que se le advierte de la intención de instalarle cookies. Además, en ese mismo aviso se le solicita el consentimiento que autorice dicha instalación y el posterior uso de la información recabada, facilitándole un acceso a una política de privacidad, o similar, (segunda fase o "capa"), en la que se le informa con mayor detalle sobre el resto de aspectos relacionados con dicho uso de cookies .

Este sistema ha sido validado en la citada Guía de Cookies a través de lo que se denomina "información por capas", donde se recomienda al prestador de servicios que opte por esta solución de información por capas, a que incluya una serie de información en el aviso informativo que vaya a mostrarse al usuario que accede por primera vez a esa página. Dicho aviso deberá contener:

- Una advertencia del uso de cookies que se instalan al navegar por dicha página o al utilizar el servicio solicitado, siempre y cuando, por la naturaleza de las mismas, queden exceptuadas del ámbito de aplicación de la Guía.

- Identificación de las finalidades de las cookies que se instalan, además de información sobre si la instalación y uso de las cookies se llevará a cabo únicamente por el editor responsable de la web ("first party cookies"), o también por terceros asociados a él ("third party cookies").

- En su caso, advertencia al usuario de que si se realiza una determinada acción (pe. un click, un scroll down, etc), se entenderá que el usuario acepta el uso de las cookies en las condiciones indicadas.

- Un enlace a una segunda capa informativa (pe. una política de cookies específica) en la que se incluya una información más detallada. 

En cualquier caso, la información indicada deberá facilitarse a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción (ese click o ese scroll down, por ejemplo), requerida para la prestación válida del consentimiento.

Como ejemplo válido que las páginas web pueden utilizar a la hora de incluir dicha información obligatoria, la Guía recomienda un formato de aviso, siempre y cuando incluya el contenido siguiente, y -evidentemente- se cumplan las condiciones ahí indicadas:

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.

Algunos de los retos que plantea esta solución de información por capas los encontraremos, tanto en el efectivo cumplimiento de las obligaciones respecto del contenido del aviso (pe. en relación a la finalidad, o en la veracidad respecto del verdadero responsable de la instalación de cookies), como en la efectiva visibilidad del mismo dentro de la página web en la que se muestre dicho aviso (para que el usuario medio perciba, con claridad, su localización y contenido). En relación a este punto, debemos tener en cuenta algunos elementos que pueden afectar negativamente a dicho requisito de visibilidad, y que pueden ir desde la falta de identificación del aviso (pe. por razones de su formato o diseño), hasta la imposible lectura o comprensión de su contenido como consecuencia del tamaño de la letra, su contraste o su nitidez, o, incluso, por el idioma utilizado.

Aunque tomado de una web extranjera, una muestra de aviso de cookies que, de conformidad con lo establecido en la Guía de Cookies, resultaría insuficiente si se tratase de una web sometida a la normativa española, sería el siguiente:

Como se observa a simple vista, se trata de un aviso que sí parece cumplir con las obligaciones de visibilidad que se exige en la mencionada Guía (especialmente gracias a su localización en pantalla y al  contraste empleado), y que podría servir de ejemplo para páginas españolas en cuanto a formato, pero no en contenido. Como puede verse, el aviso realiza una simple remisión a la política de cookies de la página web, obviando el resto de información que se considera necesaria para concluir que el consentimiento prestado por el usuario es, como exige la Guía de Cookies, suficiente, previo e informado.