Las empresas se atragantan con las ¡®cookies¡¯

Primero fue Ikea, despu¨¦s Vueling y, m¨¢s recientemente, Twitter. En menos de un a?o, la Agencia Espa?ola de Protecci¨®n de Datos (AEPD) ha sancionado a tres grandes compa?¨ªas por no tener una pol¨ªtica de cookies acorde a las exigencias legales. Los peque?os archivos inform¨¢ticos que se instalan en los dispositivos de los usuarios mientras navegan por la red se han convertido en un quebradero de cabeza para las empresas debido la complejidad t¨¦cnica y regulatoria que las rodea.

Las cookies (o galletas virtuales...

Primero fue Ikea, despu¨¦s Vueling y, m¨¢s recientemente, Twitter. En menos de un a?o, la Agencia Espa?ola de Protecci¨®n de Datos (AEPD) ha sancionado a tres grandes compa?¨ªas por no tener una pol¨ªtica de cookies acorde a las exigencias legales. Los peque?os archivos inform¨¢ticos que se instalan en los dispositivos de los usuarios mientras navegan por la red se han convertido en un quebradero de cabeza para las empresas debido la complejidad t¨¦cnica y regulatoria que las rodea.

Las cookies (o galletas virtuales) son elementos imprescindibles para el funcionamiento de internet tal y como lo conocemos hoy en d¨ªa. Permiten a las p¨¢ginas web operar adecuadamente, conocer las preferencias de los visitantes y prestar sus servicios de manera personalizada. ¡°El problema es que, para esto que sea posible, es necesario que se recaben ciertos datos sensibles como la IP del dispositivo, su ubicaci¨®n e, incluso, contrase?as y n¨²meros de tarjeta de cr¨¦dito¡± recalca Alexis Petit, experto en marketing digital de Dobleo.

Adem¨¢s, es com¨²n que las webs inserten cookies de otras empresas de marketing que se dedican a ofrecer publicidad y hacer perfiles de consumo. Orfelia Tejerina, presidenta de la Asociaci¨®n de Internautas, subraya que esta pr¨¢ctica es, de hecho, la m¨¢s controvertida porque ¡°permite bombardear con publicidad al usuario (el conocido como spam) y puede dar lugar a brechas de seguridad¡±.

Para evitar los abusos, la Ley de Servicios de la Sociedad de la Informaci¨®n (LSSI) impuso en 2012 dos obligaciones fundamentales a los prestadores de servicios online: informar sobre las cookies propias y de terceros, y pedir permiso antes de instalarlas. Un consentimiento que, en base al Reglamento europeo de protecci¨®n de datos, debe ser expreso, libre e inequ¨ªvoco. De ah¨ª los famosos avisos emergentes o banners que abundan en las webs.

Precisamente, Twitter fue sancionada en febrero por no cumplir estos requisitos. Un particular denunci¨® que la p¨¢gina de inicio no inclu¨ªa ning¨²n bot¨®n que permitiera aceptar o rechazar sus condiciones de uso y solo remit¨ªa a otra pantalla en la que se daban complejas instrucciones para configurar la privacidad. La AEPD mult¨® a la tecnol¨®gica con 30.000 euros.

Unos meses antes, en octubre de 2019, fue Vueling quien cay¨® bajo la lupa del organismo. La aerol¨ªnea fue sancionada tambi¨¦n con 30.000 euros por no dar la opci¨®n de gestionar las cookies, aunque finalmente el importe fue reducido a 18.000 euros despu¨¦s de que la empresa reconociese su responsabilidad. Por su parte, la cadena sueca de muebles Ikea tuvo que pagar 10.000 euros debido a que su web descargaba cookies antes de obtener el permiso del usuario.

Todos estos no son casos aislados. Seg¨²n un estudio de la Universidad estadounidense de Cornell, nueve de cada diez p¨¢ginas web que operan en la UE se saltan la normativa comunitaria en materia de privacidad, bien porque no informan de las cookies adecuadamente, o bien porque dificultan su bloqueo.

Aviso a navegantes

Como subraya Natalia Martos, consejera delegada de Legal Army, las sanciones de la AEPD ¡°son un aviso a navegantes¡± para las empresas, pero, a su vez, son fruto de los vaivenes regulatorios que se han producido en Espa?a. A finales de 2019 la AEPD public¨® una gu¨ªa de uso de cookies que daba por v¨¢lidos el bot¨®n de ¡°seguir navegando¡± y los banners que no dejan acceder a los contenidos de las webs si no se acepta previamente la pol¨ªtica de privacidad (los llamados muros de cookies). El Comit¨¦ Europeo de Protecci¨®n de Datos advirti¨® poco despu¨¦s que estas f¨®rmulas no eran legales en tanto y en cuanto no se pod¨ªan asimilar a un consentimiento libre y claro por parte de los usuarios.

La respuesta del organismo regulador se ha producido hace solo unas semanas. La Agencia ha publicado una nueva gu¨ªa de uso de cookies en la que rectifica sus criterios para adaptarlos a los del resto de Europa y ha dado tres meses a las compa?¨ªas (hasta el pr¨®ximo 31 de octubre) para eliminar cualquier sistema t¨¢cito de consentimiento. ?Se disipan as¨ª todas las dudas en torno a estos archivos inform¨¢ticos? Los expertos no lo tienen claro.

Martos reconoce que la modificaci¨®n de criterios de la AEPD ha puesto fin a dos excepciones que ¡°creaban mucha inseguridad jur¨ªdica para los prestadores de servicios online¡±. No obstante, se?ala que todav¨ªa hay interrogantes sobre si las cookies anal¨ªticas (las que ayudan a conocer las preferencias de los consumidores) requieren del mismo nivel de consentimiento que las publicitarias. ¡°Es una cuesti¨®n importante que todav¨ªa est¨¢ por definir¡±, afirma.

Adem¨¢s de la confusi¨®n regulatoria, Nelia ?lvarez, letrada en Ceca Mag¨¢n, tambi¨¦n observa un problema de actitud en esta cuesti¨®n. ¡°A muchas empresas se les han atragantado las cookies porque no les han dado importancia y no han coordinado adecuadamente a sus equipos jur¨ªdicos e inform¨¢ticos¡±. Falta, en su opini¨®n, mayor conciencia sobre lo relevante que es esta cuesti¨®n a la vista del avance del comercio y el consumo online.

M¨¢s optimista se muestra Marcos Judel, socio de Audens y presidente de la Asociaci¨®n Profesional Espa?ola de Privacidad (APEP), que cree que las modificaciones que introduce la nueva gu¨ªa son ¡°muy relevantes desde el punto de vista pr¨¢ctico¡±. Seg¨²n explica, estos criterios ayudar¨¢n a que las webs integren mecanismos de gesti¨®n del consentimiento m¨¢s respetuosos con la privacidad del usuario, que tendr¨¢ la oportunidad de decidir c¨®mo son tratados sus datos de manera pormenorizada.