En el Informe jurídico 0196/2014, la Agencia Española de Proteccion de Datos responde a la cuestión sobre si en el caso de utilizar un sistema de información por capas a la hora de obtener el consentimiento de los usuarios en materia de cookies, la segunda capa debe citar obligatoriamente los nombres concretos de las cookies, su cometido y funciones, o si bastará hacer una referencia genérica a estas cuestiones, indicando la existencia de cookies, identificación del tercero (en su caso), incluyendo un enlace que amplíe esta información.
En primer lugar, aclarar, tal y como lo hace el propio informe, que el término “cookies” ha de entenderse como comprensivo de cualquier dispositivo de almacenamiento y recuperación de datos, no sólo de las cookies propiamente dichas.
En segundo lugar, hay que recordar que el sistema de obtención del consentimiento por capas no es el único ni mucho menos obligatorio, pues recordemos que el artículo 22.2 de la LSSI no especifica cómo recoger dicho consentimiento, sino las características del mismo, es decir, se exige un consentimiento informado (“…hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos…”)
De hecho, en la Guía sobre el uso de las cookies elaborada por la AEPD en colaboración con las asociaciones Adigital, Autocontrol e IAB Spain, se citan como posibles vías para obtener el consentimiento las siguientes:
A través de la aceptación de los “Términos y condiciones de uso de la página web” o de su “Política de privacidad” al solicitar el alta en un servicio
Durante el proceso de configuración del funcionamiento de la página web o aplicación (Settings-led consent)
en el momento en que se solicite una nueva función ofrecida en la página web o aplicación (Feature-led consent)
antes de proceder a la descarga de un servicio o aplicación ofrecido en una página web
A través de la configuración del navegador (opción que a día de hoy plantea problemas en orden a recoger un consentimiento informado)
sistema de información por capas
En la segunda capa, se facilitará “información adicional”, es decir, qué son y para qué se utilizan las cookies, tipos de cookies utilizadas y su finalidad, forma de desactivar o eliminarlas así como la forma de revocación del consentimiento ya prestado. También ha de indicarse quién utiliza las cookies, si la información obtenida por las cookies es tratada solo por el editor o también por terceros contratados o cuyos servicios ha decidido utilizar el editor, con identificación de estos terceros.
Respondiendo a la consulta planteada, sobre si se han de citar los nombres concretos de las cookies y su finalidad o si bastará hacer una referencia genérica, la AEPD afirma, como no podía ser de otra manera, que “la normativa no exige que la información detalle el nombre de los dispositivos” puesto que lo verdaderamente relevante es informar sobre la utilización de cookies, su finalidad y quién utilizará dicha información.
Es decir, se podrá facilitar la información adicional de la segunda capa por grupos de cookies, lógicamente deberá existir identidad entre ellas, indicando si son propias o de terceros (de primera o de tercera parte), junto con la identificación de dichos terceros y su finalidad. Se especifica también que no será obligatorio la inclusión de un enlace a la página web de los terceros para concretar la finalidad de las cookies, siempre que ésta quede suficientemente determinada.
No obstante, si el editor de la web decide incluir dicho enlace por considerarlo relevante o bien por no poder ofrecer una explicación suficiente sobre la finalidad de las cookies, la AEPD afirma que deberá asegurarse de que el enlace no esté obsoleto ni roto y que se dirija a páginas en castellano o en la lengua cooficial utilizada en la página web.
Asimismo, recuerda el Informe que no basta con indicar que las cookies… “son aquellas… bien tratadas por nosotros o por terceros…”, siendo necesario especificar en la segunda capa la identidad de los terceros.
Por último, añadir que, tal y como explica el compañero Alex López McVay en “Nuevo vuelco en materia de cookies”, al contrario de lo que se indica en la Guía sobre cookies, la información de la segunda capa (“Política de cookies”) no tendrá por qué ser obligatoriamente un enlace diferente e independiente de la política de privacidad, siendo perfectamente válida una “Política de privacidad y cookies”, siempre que ésta sea accesible e identifique su contenido y cumpla con los requisitos para la obtención del consentimiento informado.
Por Maria Loza
Abogada y consultora de PRODAT CATALUNYA
