Nueva regulacion sobre las Cookies
Ratio: 4 / 5
- Detalles
- Publicado: Martes, 26 Junio 2012 15:41
La reciente reforma de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSI) establecida por el Real Decreto-ley 13/2012, de 30 de marzo, que transpone directivas, entre otras, en materia de comunicaciones electrónicas ha introducido novedades legislativas en cuanto a la regulación de las cookies.
A pesar de lo que piensan muchos usuarios, las cookies no son virus que puedan dañar sus equipos informáticos, ni spyware que puedan acceder a la información que disponen almacenada en ellos. Las cookies son pequeños ficheros de datos que los servidores web almacenan, en modo local, en el ordenador del usuario cuando se conecta a un portal web.
Estas cookies, en un primer momento, fueron creadas con la finalidad de gestionar la cesta de la compra virtual y poder así, identificar y almacenar los productos que un usuario selecciona en las diferentes secciones de un portal web para su posterior compra.
Más tarde, las cookies empezaron a ser utilizadas para gestionar el tráfico de los usuarios balanceando, por ejemplo, la carga entre los diferentes servidores de una empresa para conseguir que se produzca la efectiva comunicación entre el equipo del usuario y el portal web por él seleccionado.
La tipología de cookies descritas son estrictamente necesarias para o bien la prestación de un servicio a los usuarios, como es el caso de la cesta de la compra virtual, o bien para que el usuario pueda comunicarse con un portal web, como es el caso de las cookies que tráfico.
Acotando el uso de las cookies a las finalidades expuestas, éstas no representan ninguna amenaza. La problemática surge cuando las cookies comienzan a ser utilizadas por los servidores web de las empresas para obtener información sobre las preferencias de navegación de los usuarios. Numerosos portales permiten al usuario configurar el aspecto de sus sitios web según sus intereses y preferencias y con las cookies se consigue recordar estas elecciones, para que estén disponibles en futuras visitas. A su vez, las cookies pueden almacenar información sobre las actuaciones que los usuarios realizan durante las sesiones de navegación en un determinado portal o conjunto de portales web.
De esta forma, las cookies pueden ser utilizadas por las empresas para crear un perfil de usuario en función de sus preferencias y hábitos de navegación. Esta información es sumamente valiosa para las empresas porque les permite personalizar la publicidad de sus portales web y las ofertas comerciales en función del comportamiento del usuario. Es esta última finalidad, la que puede llegar a vulnerar la privacidad de los usuarios en Internet.
Aunque las cookies no contienen datos de carácter personal, recogen en muchos casos información relativa a personas identificadas o identificables. Este hecho ha tenido como consecuencia la creación de una legislación que regula el uso y finalidades de las cookies con el objetivo de proteger la privacidad del usuario en Internet.
En un principio, la LSSI estableció la obligación a las empresas de informar a los usuarios sobre la utilización de las cookies y sus finalidades. Éstas, a su vez, debían ofrecer al usuario un procedimiento sencillo y gratuito para rechazar las mismas.
La citada reforma de la LSSI, en su artículo 22.2, ha dado un paso más y no sólo mantiene que las empresas deben proporcionar al usuario información clara y completa sobre las cookies, sus usos y finalidades, si no que introduce la necesidad de obtener el consentimiento previo de los usuarios para su utilización.
Esto supone numerosos inconvenientes para las empresas debido a que la política del uso de las cookies se debe configurar por el usuario en su propio navegador web. Todos los navegadores web disponen de opciones de configuración de las cookies pero en cada uno de ellos, éstas son diferentes. Algunos navegadores simplemente conceden al usuario una opción general de deshabilitar o bloquear las cookies de un determinado portal web, mientras que otros ofrecen al usuario información concreta sobre cada cookie y la posibilidad de eliminar las que el usuario crea conveniente, si bien la información proporcionada por los navegadores nunca conlleva la finalidad del uso de las mismas, si no la relativa a su nombre, origen, fecha de creación y caducidad.
El obstáculo principal es que muchos navegadores no permiten elegir al usuario que tipo de cookies quiere permitir y cuáles no, lo que provoca que para evitar que un portal web obtenga información sobre nuestros hábitos de navegación, estamos obstaculizando que nos proporcionen un servicio de calidad en la sociedad de la información debido que al bloquear las cookies de forma general, no sólo evitamos que se almacenen los hábitos de navegación del usuario, si no que vamos a eliminar a su vez, aquellas cookies que son estrictamente necesarias para la navegación o para la prestación de un servicio solicitado por el usuario en un determinado portal web.
La LSSI no obliga a informar y solicitar el consentimiento cuando las cookies sean estrictamente necesarias para la navegación o para la prestación de un servicio solicitado por el usuario pero mientras todos los navegadores web no permitan a los usuarios seleccionar las cookies concretas que desean habilitar o bloquear, la decisión de permitir o no permitir las cookies va afectar tanto a las cookies “necesarias” como a las “no necesarias”.
Otro problema al que nos enfrentamos, es la forma en que las empresas deben recabar el consentimiento previo del usuario. A tenor de lo establecido en la LSSI, el consentimiento del usuario se entenderá dado si durante la instalación o actualización de un producto/servicio realiza alguna acción de configuración que permita almacenar o no las cookies. El problema se genera cuando no existe ningún acto de configuración por parte del usuario debido a que, en estos casos, los portales web deberán proporcionar la información pertinente sobre las cookies a los usuarios y éstos deberán aceptar su utilización, antes de comenzar la navegación por el portal web.
De esta forma, los usuarios pueden encontrarse con que, a partir de ahora, sean bombardeados en todas sus primeras visitas a los diferentes sitios web con ventanas emergentes que les informen de las cookies y les soliciten el consentimiento previo a la navegación. Y no sólo eso, sino que los portales web evolucionan y los desarrolladores crean nuevos servicios y productos que conllevan el uso de cookies, por lo que cada vez que se introduzca una nueva cookie en un portal web debería repetirse el proceso, lo que conlleva un esfuerzo continúo para las empresas que en cierto grado es desmesurado. A mi juicio, esto va a generar desconfianza en los usuarios que, por desinformación, no acepten el uso de las cookies en aras a proteger su privacidad en la red y lo que consigan sea una navegación mucho más torpe y un servicio de menor calidad en la sociedad de la información.
Mientras se dilucidan los problemas expuestos, me gustaría trasladar “tranquilidad en las masas” debido a que la LSSI no contempla como infracción la falta de consentimiento en materia de cookies y sí la falta de información o del establecimiento de un procedimiento de rechazo de las mismas, por lo que en puridad no podrían sancionarnos por no obtener el consentimiento previo, siempre que proporcionemos información clara y completa sobre las cookies y cómo bloquearlas.
Isabel García Martín
Auditora de sistemas de información (CISA)
