AD 69/2018
ABSTRACT:
Análisis de los cambios que supone el RGPD en relación a las cookies, con especial atención a las cuestiones a tener en cuenta a la hora de desarrollar una Web Corporativa y a establecer procesos «by design» de captación de datos en la web que no se limiten a un buen Aviso Legal y unos cuantos pop ups informativos.
PALABRAS CLAVE:
- RGPD
- Cookies
- Consentimiento expreso
- Interés legítimo
- Responsable del tratamiento
El RGPD ha traído consigo cambios importantes en el desarrollo del negocio y la estructura empresarial, sobretodo en lo que se refiere al campo del negocio on-line, pero ¿ha supuesto el mismo cambio en relación a las cookies?
Para poder responder a esta pregunta debemos conocer que son las cookies y el papel que juegan dentro del tejido empresarial como herramienta de generación de valor, no solo estratégico sino también económico.
Las cookies son un software (programa informático), que se descarga en nuestro terminal cuando accedemos a una página web, descargándose desde el servidor en el que el sitio está alojado y permitiendo la transmisión de información entre el dispositivo y la web.
Estos programas recopilan información del dispositivo cada vez que se retoma la sesión con el prestador de servicios, siendo esta información de diverso tipo en relación con el mayor o menor impacto que tengan sobre la privacidad del usuario.
En este sentido y a modo de ejemplo podemos ver que hay cookies que únicamente están relacionadas con el uso del portal desde el que se produce la descarga de las mismas (relacionadas con la sesión, preferencias de uso, personalización o necesarias para la prestación de servicios ofrecidos) mientras que otras están más orientadas a la captación de datos personales, a priori, no necesarios (como las comportamentales, publicitaras, o las relacionadas con el envío de propuestas comerciales).
Una vez que sabemos esto, podemos hacer la siguiente reflexión ¿Que supone el RGPD para las cookies?
Lo primero que debemos saber es que el consentimiento tácito, con el que hemos estado funcionando hasta hace nada, ya no es válido y que según la normativa actual cualquier captación de datos personales DEBE llevarse a cabo mediante un consentimiento expreso o bien debe basarse en un interés legitimo del prestador de servicios, pues este tipo de bases legales son las que más utilizaremos en los negocios on-line.
Esto implica que cuando estamos ante la construcción de nuestra Web Corporativa debemos hacer el ejercicio mental de establecer los usos y finalidades que tendrá la misma y a partir de ahí elaborar un plan para la captación responsable de datos a través de este tipo de software.
De esta forma, si nuestro front office requiere de una serie de cookies para poder ser visitada y mejorar su usabilidad a los efectos de tener una buena experiencia del usuario y ello implica necesariamente la captación de datos personales (p.ej identificativos), es imprescindible que informemos mediante banner o pop up de la existencia de este tipo de software y que además de ello informemos acerca de que la base legal será el interés legitimo ya que no podríamos prestar el servicio sin el uso de las cookies.
Por contra, si en nuestra web hay presencia de cookies no necesarias pero que nos resultan útiles de cara a fijar estrategias comerciales o de marketing digital deberemos informar de ello y obtener un consentimiento del cual podamos generar prueba.
En este punto es interesante hacer una reflexión, ¿porque debemos obtener un consentimiento informado mediante formulario de aceptación si el usuario puede modificar el acceso a las cookies desde la configuración de su navegador?
Desde mi punto de vista, si te has preguntado esto, tienes toda la razón.
La respuesta que puedo darte esta relacionada con la regulación de las cookies, ya que aunque éstas como tal están reguladas en la Ley de Servicios de la Información, su uso legal parte de las exigencias de la normativa de Protección de Datos, que no hace referencia a ellas pero si a los requisitos de consentimiento, que, entre otras cosas requieren una aceptación informada, libre, con unos fines determinados y (y esto es lo más interesante) que el Responsable del Tratamiento pueda demostrar que así fue.
La única forma para poder justificar la captación de datos por estos medios es, sin duda alguna, el uso de formularios de información y consentimiento que sean visibles y accesibles al usuario (desde mi punto de vista a través del método de información por capas).
Cualquier consentimiento recabado de esta forma aportará la seguridad jurídica tanto al usuario como a la empresa que es de esperar en el desarrollo de cualquier tipo de modelo de negocio y por supuesto permitirá, dada la transparencia de la captación, recabar mayor numero de datos y con mayor veracidad.
Finalmente me gustaría hacer una pequeña reflexión acerca del interés legítimo como concepto y las conductas que podría amparar ya que, como ciertos conceptos jurídicos, es amplio y bastante vago en sus limites.
En mi opinión el interés legítimo podría amparar el uso de determinadas cookies de captación de datos personales “no necesarias para la usabilidad de la web”, siempre y cuando dicho interés del prestador de servicios se concretase en captar los datos del usuario, anonimizarlos para crear informes, bases de datos comportamentales y/o estadísticos y su posterior venta como modelo de financiación del negocio.
Como contrapartida el usuario obtendría acceso a determinados servicios de la sociedad de la información ofrecidos por el prestador (acceso a noticias de actualidad, programación, contenido de valor divulgativo etc) y ello con la salvaguarda del ejercicio de los derechos que le son reconocidos por el RGPD.
Esta idea será especialmente útil cuando (por fin) obtengamos la regulación final del Reglamento E-Privacy, tándem natural del RGPD que aún estamos esperando y que introducirá, si no es modificado, la obligación de los gestores de buscadores de Internet de establecer la Privacidad por diseño limitando por defecto las autorizaciones a las cookies, lo que para las empresas del entorno online financiadas con publicidad puede significar consecuencias de falta de financiación o necesaria reestructuración del modelo de negocio, que podría evitarse a través del interés legítimo.
Conclusión
Llegados a este punto puedes ver que el RGPD ha modificado de forma muy interesante el uso de este tipo de software, obligando a los prestadores de servicios (recuerda: desde un front office básico a un e-commerce puro) a establecer procesos by design de captación de datos en la web que no se limiten a un buen Aviso Legal y unos cuantos pop ups informativos.
Ahora la pregunta que deberías hacerte, como usuario concienciado, es la siguiente ¿las webs que visito cada día, cumplen con la normativa? Y aún más si eres empresario ¿mi web cumple?
En Palma de Mallorca a 27 de Septiembre de 2018.
Abogado especialista en Protección de Datos y Nuevas Tecnologías
E-mail: infosiabogados@gmail.com
Blog: https://samuelsaenzabogado.wordpress.com/
Facebook: Samuel Saenz Iñarrea
Twitter: @SamuelabogadoSI
