Introducción
El uso de cookies se ha convertido en una herramienta esencial para la navegación de los usuarios a través de páginas web y aplicaciones y se ha tornado en un mecanismo comúnmente utilizado por los comercializadores de productos y servicios para llegar a su público objetivo a través de Internet. Por lo anterior, distintas autoridades de Protección de Datos Personales han tenido la oportunidad de pronunciarse al respecto, particularmente, la Unidad Reguladora y de Control de Datos Personales de Uruguay (URCDP), quien en diciembre de 2018 publicó su Guía de Cookies y Perfiles[1], la Agencia Española de Protección de Datos (AEPD), quien en julio de 2020 publicó la Guía sobre el uso de las cookies[2] y el Comité Europeo de Protección de Datos (CEPD), que, en mayo de 2020 adoptó la versión 1.1. de la Directriz 5/2020 sobre el consentimiento[3], la cual, con base en el Reglamento General de Protección de Datos Personales de la Unión Europea (RGPD, o, GDPR -por sus siglas en inglés-), el Documento de trabajo 02/2013 sobre la obtención del consentimiento para cookies (WP 208) y la Directiva 2002/58/EC del Parlamento Europeo, hace una breve mención al uso de cookies.
Por otro lado, aunque la Superintendencia de Industria y Comercio (SIC) de Colombia no ha elaborado como tal una Guía en la materia, sí ha tenido la oportunidad de pronunciarse sobre el uso de cookies en conceptos como el identificado con radicado número 16-172268 y ha expedido órdenes de cara a varias plataformas extranjeras que recolectan Datos Personales de colombianos mediante el uso de cookies.
Con base en lo anterior, hemos realizado un recuento de los elementos más importantes de los parámetros establecidos por las autoridades de Protección de Datos Personales de Uruguay, España, la Unión Europea y Colombia en cuanto al uso de cookies, los cuales consideramos que resultarían aplicables a la mayoría de las jurisdicciones cuyas normas de Protección de Datos Personales estén basadas en los lineamientos de la Unión Europea.
¿Qué son las cookies?
De acuerdo con la Guía de la URCDP, las cookies son un tipo de archivo que almacena información del usuario y es enviada por un sitio web a través de un navegador. Este archivo se descarga en computadoras, tablets, celulares o cualquier otro dispositivo, con la finalidad de almacenar datos que podrán ser actualizados o recuperados por el Responsable de su instalación.
Por otro lado, de acuerdo con la Guía de la AEPD las cookies son dispositivos de almacenamiento y recuperación de datos que tienen un papel esencial para la prestación de numerosos servicios de la sociedad de la información, que concentran la mayor inversión publicitaria, facilitan la navegación del usuario y ofrecen publicidad basada en los hábitos de navegación.
¿Cuáles son los tipos de cookies comúnmente utilizados?
La Guía de la URCDP de Uruguay resalta los siguientes:
- Cookies propias: son aquellas que se envían al equipo terminal del usuario desde el titular del sitio web en que está navegando.
- Cookies de terceros: son aquellas que se envían al equipo del usuario, pero no por parte del titular del sitio web, sino por terceros.
Además de las anteriores, la Guía de la AEPD pone los siguientes de presente:
Según su finalidad:
- Cookies técnicas: aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan.
- Cookies de análisis o medición: aquellas que permiten al Responsable el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios.
- Cookies de preferencias o personalización: aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del navegador, entre otros.
- Cookies de publicidad comportamental: aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continua de sus hábitos de navegación, lo que permite desarrollar un perfil específico para la muestra de publicidad.
Según el plazo de tiempo que permanecen activas en el equipo del usuario:
- Cookies de sesión: aquellas diseñadas para recabar y almacenar datos mientras el usuario accede a una página web. Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (por ejemplo, una lista de productos adquiridos) y desaparecen al terminar la sesión.
- Cookies persistentes: aquellas en las que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, que puede ir de unos minutos a varios años.
¿Son las Cookies Datos Personales?
De acuerdo con la Guía de la URCDP de Uruguay las cookies permiten rastrear las búsquedas de un usuario o los hábitos de navegación a lo largo de un período de tiempo determinado, mientras que la Guía de la de la AEPD se refiere a ellas como dispositivos de almacenamiento y recuperación de datos.
Por su parte, en el año 2016, la SIC de Colombia, mediante concepto con radicado 16-172268[4], se basó en la Guía de la AEPD para afirmar que las cookies son archivos que recogen información a través de una página web sobre los hábitos de navegación de un usuario o de su equipo, por lo cual podrían llevar a la recolección de Datos Personales que hacen identificable a una persona.
En consecuencia, estas definiciones nos permiten deducir que las Cookies no son en sí mismas Datos Personales, pero sí son un mecanismo para la recolección de Datos Personales.
¿Son aplicables las Leyes de Protección de Datos Personales al uso de cookies?
Para el caso de Colombia, el uso de cookies no está expresamente regulado. Sin embargo, en el mencionado concepto 16-172268 la SIC sostuvo que, cuando, mediante el uso de cookies se recolecten Datos Personales[5], el Responsable de la base de datos que los contiene debe ceñirse a las normas aplicables a la materia en Colombia, y en especial, a los principios rectores para la administración de Datos Personales (Art. 4 L. 1581 de 2012).
Incluso, en resoluciones tan recientes como la 53593 del 3 de septiembre de 2020[6], 62132 del 5 de octubre de 2020[7] y 29826 de 19 de mayo de 2021[8], la SIC sostuvo que Google, Tik Tok y Whatsapp estaban sujetos a la aplicación de la Ley 1581 de 2012, puesto que, mediante el uso de cookies, estas plataformas recolectan los Datos Personales de centenares de usuarios colombianos.
Lo anterior se debe a que el Art. 2 de la Ley 1581 de 2012 extiende el ámbito de aplicación de esa norma a “los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada”. Sin perjuicio de lo señalado, quedan exceptuadas las bases de datos previstas en el mismo artículo[9]. Vale la pena aclarar, que no existe una posición unívoca sobre la aplicación completa del segundo inciso del artículo mencionado, que señala que:
“La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales”.
La forma en la que en Vanegas Morales hemos interpretado este aparte, ha sido que, la norma aplica a los datos personales de colombianos, o que sean tratados (es decir, recolectados, usados, almacenados, eliminados o procesados de cualquier otra forma en Colombia), o, cuando el tratamiento de los datos vaya a tener efectos en Colombia. Esto último, con base en el criterio de aplicación territorial de la ley colombiana, consagrado en los Arts. 18, 19 y 20 del Código Civil.
Igualmente, la URCDP de Uruguay sostiene que si bien ese país no cuenta con una regulación normativa expresa en la materia, en la medida en que las cookies afectan Datos Personales, resultan de plena aplicación los principios y derechos que regulan su protección.
En el caso de la AEPD, esa autoridad aclara que las cookies técnicas y de preferencias o personalización no están sujetas a la Ley Española de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), siempre y cuando permitan la prestación del servicio solicitado por el usuario. Sin embargo, si estas cookies se utilizan también para finalidades no exentas (por ejemplo, para fines publicitarios comportamentales), quedarán sujetas a la aplicación de la Ley correspondiente y se deberán observar los deberes descritos en el numeral siguiente.
Finalmente, aunque la Unión Europea no adopta una posición que cierre cualquier duda en la materia, ha considerado en el Documento de trabajo 02/2013 sobre la obtención del consentimiento para cookies (WP 208) y la Directiva 2002/58/EC del Parlamento Europeo, que el requisito del consentimiento sí aplica. El CEPD específicamente señala que:
“Es probable que las organizaciones necesiten consentimiento (…) para la mayor parte de los mensajes de mercadotecnia en línea o de las llamadas comerciales que realizan y para los métodos de rastreo en línea, inclusive mediante el uso de cookies o aplicaciones o de otro software”.
¿Qué deberes impone el uso de Cookies?
Según la Guía de la URCDP de Uruguay los Responsables del uso de cookies deberán:
- Recabar el consentimiento del titular de los datos en forma previa a su instalación.
- Utilizar los datos personales recabados dentro del marco de la finalidad establecida e informada.
- Informar claramente al usuario de la utilización de esta tecnología, quién es su responsable y para qué se van a utilizar los datos, dejando en claro que se va a rastrear su actividad en línea.
Por otro lado, en el concepto de la SIC con radicado 16-172268, esa autoridad sostuvo que, en la medida que las bases de Datos Personales recolectados mediante el uso de cookies están sujetas a aplicación de la Ley 1581 de 2012, el Responsable del Tratamiento debe cumplir con los deberes previstos en esa norma, el Decreto 1377 de 2013 y las demás aplicables. En particular, la autoridad colombiana hace especial énfasis en la obtención de la autorización previa, expresa e informada por parte del Titular.
De manera similar, el CEPD establece que:
“(…) los requisitos relativos al consentimiento en virtud del RGPD no se consideran como una «obligación adicional», sino más bien como condiciones previas para un tratamiento lícito de los datos. Por lo tanto, los requisitos estipulados en el RGPD para obtener un consentimiento válido se aplican a situaciones que entran dentro del ámbito de aplicación de la Directiva sobre la privacidad y las comunicaciones electrónicas”.
Por su parte, desde el punto de vista de la AEPD las obligaciones legales impuestas por la normativa son dos, a saber: la obligación de transparencia y la obligación de obtención del consentimiento.
En cuanto a la transparencia, la AEPD recomienda suministrar la siguiente información:
- Definición y función genérica de las cookies: ¿qué son?
- Información sobre el tipo de cookies que se utilizan y su finalidad.
- Forma de aceptar, denegar o revocar el consentimiento para el uso de cookies.
- Información sobre quién utiliza las cookies: ¿solo el editor o también otros terceros?
- Información sobre las trasferencias de datos a terceros países y en relación con dónde y cómo se puede acceder a la información sobre las garantías adecuadas o apropiadas, que, en su caso, permitan la transferencia. En ausencia de estas, se debe informar al usuario del riesgo de realizar la transferencia sin nivel de adecuación o de garantías apropiadas.
- Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente, se recomienda informar sobre la lógica utilizada, así como la importancia y las consecuencias previstas de dicho Tratamiento.
- El periodo de conservación de los datos.
- La AEPD señala que sería válido remitir a la Política de Tratamiento de Datos Personales para la información relevante adicional, como, por ejemplo, los derechos de los Titulares.
Adicionalmente, la AEPD enfatiza en que la información debe ser de fácil acceso para el Titular y debe suministrarse de manera concisa, transparente, inteligible, en un lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje. En todo caso, teniendo en cuenta el detalle que se debe suministrar, cumplir de manera concisa puede ser un reto importante.
¿Cómo se debe obtener el consentimiento para el uso de Cookies?
La Guía de la URCDP de Uruguay y la SIC de Colombia no ofrecen lineamientos específicos sobre este punto. El CEPD tampoco lo hace de manera detallada, pero establece los siguientes puntos:
- El consentimiento debe ser una decisión reversible y el interesado debe seguir manteniendo un cierto grado de control; y,
- Para que el consentimiento se manifieste libremente, el acceso a los servicios y funcionalidades no puede supeditarse a que el usuario entregue su consentimiento al almacenamiento de información, o al acceso a la información ya almacenada, en el equipo terminal del usuario (las denominadas “barreras de cookies”).
Para ilustrar lo anterior, el CEPD ofrece el siguiente ejemplo:
“Ejemplo 6 bis: Un proveedor de sitios web introduce un script que oculta el contenido, a excepción de una solicitud de aceptar las cookies e información sobre las cookies utilizadas y los fines para los que se tratarán los datos. No es posible acceder al contenido sin pulsar el botón «aceptar las cookies». Dado que al interesado no se le ofrece una posibilidad real de elección, su consentimiento no se manifiesta libremente. Esto no implica un consentimiento válido, ya que la prestación del servicio se supedita a que el interesado pulse el botón «aceptar las cookies». No se le ofrece una posibilidad real de elección”.
La Directiva 2002/58/EC del Parlamento Europeo señala, además, que:
“Los usuarios deben tener la posibilidad de impedir que se almacene en su equipo terminal un «chivato» (cookie) o dispositivo semejante. Esto es particularmente importante cuando otros usuarios distintos al usuario original tienen acceso al equipo terminal y, a través de éste, a cualquier dato sensible de carácter privado almacenado en dicho equipo.
La información sobre la utilización de distintos dispositivos que se vayan a instalar en el equipo terminal del usuario en la misma conexión y el derecho a impedir la instalación de tales dispositivos se pueden ofrecer en una sola vez durante una misma conexión y abarcar asimismo cualquier posible utilización futura de dichos dispositivos en conexiones posteriores. La presentación de la información y del pedido de consentimiento o posibilidad de negativa debe ser tan asequible para el usuario como sea posible”.
Por su parte, el Documento de trabajo 02/2013 sobre la obtención del consentimiento para cookies (WP 208), señala que se debe entregar información específica, en un momento previo a comenzar el tratamiento, y, se debe ofrecer al usuario la posibilidad de consentir libre y activamente.
Por otro lado, de manera más detallada, la AEPD señala que será válida la instalación de cookies en los dispositivos de los Titulares, cuando los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización.
En cuanto a la forma de obtener dicho consentimiento, la AEPD recuerda que este debe otorgarse mediante una clara acción afirmativa del Titular y que en ningún caso la mera inactividad del usuario implica la prestación del consentimiento por sí misma. Por lo anterior, la AEPD aclara que, en su concepto, el uso de un botón del tipo “Aceptar” se considerará como válido. En todo caso, acciones complejas o menos obvias que el uso de botones de aceptación o guardado de la configuración escogida deberán explicarse al usuario. Asimismo, reitera que, cuando se trate del tipo de Datos Personales que requieren de un consentimiento explícito para su Tratamiento, como los Datos Sensibles, el botón de aceptar será imprescindible, y que, en todo caso, el usuario, siempre podrá negarse a aceptar las cookies.
Aunado a lo anterior, para el caso de sitios web o servicios en línea específicamente dirigidos a menores, la AEPD señala que es conveniente recordar la necesidad de adoptar cautelas adicionales como son una mayor sencillez y claridad del lenguaje empleado. Tratándose de menores de 14 años, el Responsable del Tratamiento debe implementar esfuerzos razonables para verificar que el consentimiento fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias del tratamiento.
- ¿Tienes una página web que utiliza cookies y no sabes qué información incluir en tu banner o política de cookies?
- ¿Estás pensando en actualizar tu página web o tu plataforma virtual y necesitas entender qué deberes se derivan del uso de cookies?
- ¿Necesitas cumplir con varias regulaciones de protección de datos a la vez?
Para más información por favor escríbenos a: svanegas@vanegasmorales.com
[1]Ver:https://www.gub.uy/unidad-reguladora-control-datos-personales/comunicacion/publicaciones/guia-de-cookies-y-perfiles
[2]Ver:https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf
[3]Ver:https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_es.pdf
[4]Ver:https://www.sic.gov.co/recursos_user/boletin-juridico-sep2016/conceptos/datos_personales/16172268-proteccion-datos-9-ago-2016.pdf
[5]Cualquier información que directa o potencialmente identifica a una persona natural.
[6]Ver:https://www.sic.gov.co/sites/default/files/boletin-juridico/ORDEN%20GOOGLE%281%29.pdf
[7]Ver:https://www.sic.gov.co/sites/default/files/files/Normativa/Resoluciones/20-106617%20VU%20TIK%20TOK.pdf
[8] Ver:https://www.sic.gov.co/sites/default/files/files/2021/21-11032%20VU%20(1).pdf
[9] Por ejemplo, las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico y las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo, entre otros.