Cookies, su legalidad

Javier Hernández Martínez, abogado
E-mail : despacho@proteccionlegal.com
Web : www.proteccionlegal.com
Abogado especialista en Derecho de Internet y de las Nuevas Tecnologías

Ciertamente, estamos ante un tema sobre el cual no hay - por ahora - nada regulado en la legislación española. Lo más que hay son unas meras recomendaciones de la Agencia de Protección de Datos al respecto.

¿ Qué son las cookies ?

Sin entrar en profundidades de tipo técnico-informático podríamos definirlas como pequeños archivos - no suelen ocupar tener más de 1Kb de extensión - que se alojan en el ordenador del visitante de una página web. Las finalidades de las cookies pueden ser muy variadas : desde permitir acceder a determinadas páginas sin tener que volver a ingresar contraseña y nombre de usuario ( facilitando así la navegación del visitante al ser ésta más rápida ), hasta controlar cuántas veces se visita un sitio web, por quién, y qué páginas visita, o incluso saber desde qué paginas ha llegado a la nuestra, el tiempo que permanece, o incluso se pueden usar en relación a la figura del llamado carrito de la compra, con el fin de que la sesión de compra de un usuario - si hay varios comprando en el mismo instante - no se pueda confundir con la de otro.

Al margen de lo anterior, también puede haber otros fines no tan justificados, pues estarían movidos por objetivos realmente maliciosos - ocasionar daños al ordenador, por ejemplo -, pero en esta ocasión nos ceñiremos sólo a las usadas con fines de comercio electrónico o de mera obtención de información por parte del usuario con fines de marketing, o sea, sin ningún ánimo de dañar su equipo ni infligirle ningún daño.

¿ En qué afectan al que las emite ?

Podrían afectarle en el sentido de que la información que obtenga a través de las mismas se pueda considerar un dato de carácter personal, lo cual querría decir que, con la LOPD en la mano ( Ley Orgánica de Protección de Datos ) podríamos estar incurriendo en más de una ilegalidad si no advertimos al titular de dichos datos de que los estamos obteniendo.

Caso práctico de lo anterior, exponiendo uno de extrema gravedad, podría ser aquel en el cual los datos que se obtengan puedan estar referidos a la compra de productos de sexo, pues indirectamente se estaría construyendo un perfil de la persona acerca de su conducta o gustos sexuales, y los datos referentes a la vida sexual se consideran de nivel máximo. Consecuencia : si no aplicásemos la LOPD podríamos ser objeto de una sanción cuyo tramo mínimo sería de 300.000 euros, y el máximo de 600.000. De igual forma ocurriría si los datos recabados aludiesen a la salud ( un portal que se dedicase a temas de osteoporosis, o cáncer, o dolencias de la columna, podría ser un ejemplo muy simple de ello ).

¿Qué se ha de hacer para respetar la LOPD ?

Por un lado, no estaría de más aplicar las cautelas que la misma Agencia de Protección de Datos recomienda en tal sentido, y que en síntesis serían : avisar al usuario, antes de comenzar la actividad de la cookie, de que salvo que la autorice, ésta va a ser introducida en su ordenador; también se aconseja indicar qué nombre de dominio tiene el servidor que transmite o activa la cookie; igualmente hay que manifestar el plazo de validez de la misma o de efectos en el tiempo de la misma, e informar de si la aceptación de la misma es necesaria para algo, y en qué podría afectar la negativa a aceptarla.

Por otro lado, si la cookie recoge o recaba datos que se pudiesen considerar como de carácter personal, habría que llevar a cabo la inscripción del correspondiente fichero informático ante el Registro General de Protección de Datos, así como elaborar - y aplicar, claro está - las correspondientes medidas de seguridad, aparte de solicitar el consentimiento de la persona de la cual se obtengan los datos. Como ejemplo práctico de medidas de seguridad que habría que aplicar, está la de que, si por ejemplo recabamos datos referentes a la salud o vida sexual, los mismos, en su tránsito desde el ordenador del usuario hasta el servidor de la web que visita, han de ir cifrados, lo cual implicaría tener que usar lo que se llama un certificado de servidor ( un certificado digital para sitios web o páginas web ).

¿ Qué otras obligaciones hay ?

Pues, aparte de lo expuesto, hay que advertir al usuario que le asisten determinados derechos en relación a la información que, de carácter personal, se obtiene a su través por medio de las cookies, como son los de acceso, cancelación, rectificación y oposición, especificándole de manera clara, sencilla y gratuita, cómo puede ejercitar los mismos, ante qué instancia, y en qué plazo.

Pues, aparte de lo expuesto, hay que advertir al usuario que le asisten determinados derechos en relación a la información que, de carácter personal, se obtiene a su través por medio de las cookies, como son los de acceso, cancelación, rectificación y oposición, especificándole de manera clara, sencilla y gratuita, cómo puede ejercitar los mismos, ante qué instancia, y en qué plazo.

También, y simultáneamente a lo anterior, incumbe la obligación de no ceder a terceras personas los datos obtenidos con las cookies, lo cual se incumple de una forma más que sistemática en muchísimas ocasiones. Suele ser habitual, y sobre todo en relación al mundo del marketing, compartir o vender dichos datos, para lo cual se requiere la autorización expresa del afectado. No olvidemos que muchas veces, entre otras informaciones, una de las que se puede obtener es la de la dirección e-mail, dato éste de gran importancia en el mundo de la mercadotecnia cuando, además, y asociado a él, conocemos los hábitos de consumo del titular del mismo.

No está de más comentar, como anécdota tal vez graciosa o no muy creíble para el lector, pero que profesionalmente se da con cierta frecuencia y no es nada agradable para el que protagonice la historia, que es la de un empresario de Internet que acude a un abogado experto en estas lides con el fin de que le adapta su web site a la LOPD, y es sólo en ese momento en el que descubre - generalmente para la aplicación del carrito de la compra - que su portal posee cookies, y en su momento no lo sabía. Conclusión : Ha estado un montón de tiempo incumpliendo muy posiblemente la ley, arriesgándose a ser objeto de sanción, y sin saberlo ( créanlo o no, ocurre de vez en cuando ).

¿ Qué otro peligro puede haber con su uso ?

Uno, habitual también por desgracia, es el siguiente : La cookie va al ordenador del visitante o cliente ( con o sin su autorización ), pero ... la información recabada, una vez viaja hacia el servidor, resulta que éste no está en España, ni aún siquiera en la Unión Europea, ni tampoco en países con el visto bueno ante la Agencia de Protección de Datos, pero está en Estados Unidos. Con este país se da la paradoja de que no está en la lista de países permitidos, salvo que se trate de una empresa USA que está en la lista de lo que se denomina Puerto Seguro. En la praxis, el dato real es que son poquísimas las empresas norteamericanas que están en dicha relación, lo cual quiere decir que lo habitual es que se está llevando a cabo una transferencia internacional de datos, y para ello se requiere, como norma general, la autorización del Director de la Agencia de Protección de Datos, y en caso contrario : sanción.