MENÚ
¡Hola, malditas y malditos! Sabemos lo que os gustan las galletas, así que el consultorio tecnológico de esta semana viene cargado de preguntas sobre ‘cookies’. Sobre todo, de cómo gestionarlas (las dudas sobre este tema no acaban). Nos preguntáis qué es eso del “interés legítimo” que nos indican en los cuadros que tenemos que aceptar o rechazar y hasta qué punto es legal que, una vez rechazadas en una televisión inteligente, por ejemplo, nos vuelvan a exigir aceptarlas. ¿Y si necesitamos reclamar un mal uso de cookies? También lo explicamos.
Si tenéis más preguntas, podéis mandarlas a través de este formulario, mandando un correo a [email protected], con un mensaje a nuestro Facebook, a nuestro Twitter o a nuestro chatbot de WhatsApp (+34 644 229 319). Vamos con las de hoy.
¿Qué es el “interés legítimo” de las cookies y por qué muchas veces se queda activado en las opciones de aceptar o rechazar?
Hay banners de cookies para todos los gustos. Más extensos, más simples, que ocupan media pantalla o solo una pequeña barra al final de la web… Lo único que tienen que tener en común es que se ajusten a las normativas. Algunos de estos cuadros incluyen, entre las opciones de instalación de cookies, apartados referentes al “interés legítimo”. Muy bien, ¿y esto del interés legítimo qué es y por qué me aparece activado por defecto cuando el resto de opciones de personalización o marketing vienen desactivadas?
El interés legítimo es uno de los supuestos por los cuales una empresa puede recoger nuestros datos personales. El consentimiento es otro de esos supuestos, cuando nosotros directamente les damos permiso para que lo hagan. Ambos vienen recogidos en el Reglamento General de Protección de Datos (RGPD), que es la máxima norma a nivel europeo en lo que se refiere al uso de nuestra información personal. Si una empresa se acoge al primer supuesto, es porque ha considerado que le corresponde el derecho a recoger y usar nuestros datos, aunque no demos nuestro permiso.
Ahora bien, en lo que se refiere a las cookies, hay varias cosas que es necesario explicar. Prácticamente todo lo que tiene que ver con la protección de datos se rige por el RGPD. Las cookies, sin embargo, están reguladas por la Ley de Servicios de Sociedad de la Información y del Comercio Electrónico (LSSI). Por tanto, el interés legítimo no siempre sería una base adecuada para colocar cookies, tal y como explica a Maldita.es Jorge Campanillas, abogado especializado en protección de datos en Iurismatica, porque, en realidad, no siempre recogen datos personales.
“La Ley de Servicios de Sociedad de la Información no habla de interés legítimo”, explica Campanillas. Por eso, según dice, las cookies que no sean meramente técnicas necesitarían siempre del consentimiento del usuario.
En Maldita.es ya explicamos la diferencia entre cookies técnicas y cookies de personalización o entre cookies de origen y cookies de terceros. Las primeras, las cookies técnicas, son las que hacen funcionar a la página web: guardan nuestras sesiones, nos permiten navegar entre diferentes plataformas dentro de la misma web, nos permiten hacer pagos, etc. Las segundas, las cookies de publicidad o personalización, son las que añaden extras a nuestra navegación, por así decirlo, y se lo cuentan a otros. Se encargan de registrar nuestro perfil de usuario para que la página nos aparezca con un aspecto o un contenido específico. Nos “reconocen” como usuarios.
Con las cookies técnicas, “a priori no habría recogida de datos personales, no estás mirando lo que hace el usuario sino que haces que la página funcione”, señala Campanillas. Por tanto, no necesitarían nuestro consentimiento para operar. Las de personalización puede que sí que recojan datos sobre nosotros como usuarios (aunque sean mínimos) y además los compartan con otras empresas, y aquí es donde empieza el embrollo del interés legítimo.
“El editor del sitio web puede perseguir diferentes objetivos y finalidades al tratar y ceder a terceros los datos personales mediante el uso de cookies”, expone Ángel Benito Rodero, abogado y delegado de protección de datos. ¿Por ejemplo? Saber cuántas personas entran a una web y qué visitan para poder mejorar cómo muestra el contenido o para recoger y vender estadísticas de uso a otras compañías, como las publicitarias.
“Algunas de esas finalidades pueden perseguirse basándose en una estimación previa, esto es, realizando un juicio de ponderación de que sus intereses legítimos (o los de terceros) prevalecen sobre los intereses o sobre los derechos y libertades fundamentales de los usuarios”, continúa. Es decir, que la empresa ha estimado que tiene derecho a obtener esos datos para funcionar correctamente, y que por eso no necesita nuestro permiso para colocarnos esas ‘galletas’ y usar nuestros datos. Ahí es cuando entra en juego la casilla del “interés legítimo”: como hay una recogida y un uso de ciertos datos personales, aplica el RGPD, que incluye este supuesto.
¿Así de fácil? Bueno, el juicio de ponderación de intereses no se puede sacar del aire. Camino García, abogada especializada en protección de datos y derecho digital en Meraki Abogados, nos explica que en los casos en los que se use el interés legítimo como base legal tiene que analizar la “idoneidad del tratamiento”, la “necesidad para determinar si existe otro medio menos intrusivo, pero igual de eficaz, que cumpla el mismo propósito”, y también la “proporcionalidad del tratamiento”. O sea, comprobar que es una medida razonable y que la medida no tendrá un impacto negativo sobre los usuarios.
Rodero añade que esos argumentos de ponderación deberían estar expuestos en la Política de Cookies de la página web en cuestión para que los usuarios podamos entender bien cuál es ese derecho imperativo que tiene la empresa a recoger nuestros datos.
Ahora es cuando entra otro punto a tener en cuenta. Según la Guía de uso de cookies de la Agencia Española de Protección de Datos (AEPD), la opción para aceptar las cookies no debería venir marcada por defecto, sino todo lo contrario: deberían estar desmarcadas para que seamos los usuarios quienes decidamos qué cookies activamos y cuáles no. Pasa muchas veces que las páginas web nos dan opciones para configurar estos ficheros y todas ellas vienen desactivadas por defecto, salvo las que se asocian al “interés legítimo”, como hemos visto en la imagen más arriba y a continuación.
Anda, ¿y eso por qué? “Estas cookies podrán utilizarse sin condicionar su activación al consentimiento del interesado; esto explica que cuando accedemos a un sitio web que utiliza cookies ‘exentas’ en el apartado de configuración ya aparezcan activadas por defecto”, explica García.
Muchas de las empresas o entidades que emplean la base del interés legítimo en su uso de cookies mantienen esta opción activada por defecto, al contrario que en el caso del consentimiento. En este caso, tienen que dar la opción a los usuarios de poder rechazar también que se instalen cookies en base a este supuesto, recuerda la especialista. Con ella coincide Benito Rodero. Este proceso sería el equivalente a ejercer nuestro derecho de oposición, como te explicamos en este artículo.
¿Hasta qué punto es legal que los distintos canales de televisión (o sitios web) obliguen continuamente a aceptar o rechazar sus cookies en mi televisión?
Una vez que pasamos por el calvario que supone en ocasiones rechazar todas las cookies que pretenden instalar algunas páginas web, nos encontramos con el siguiente elemento que nos llega a poner de los nervios: el tener que hacerlo cada vez que usamos un servicio. Una de nuestras malditas nos ha preguntado si es correcto (y legal) que una vez hemos configurado y rechazado las cookies, por ejemplo, en una televisión inteligente, nos vuelva a solicitar nuestro permiso para instalarlas cada vez que la enciende. Lamentablemente, la normativa no nos dice cuánto tiempo debería pasar entre solicitudes.
“Actualmente no existe normativa que sancione específicamente esta práctica”, asegura a Maldita.es Camino García, abogada especializada en derecho digital y protección de datos en Meraki Abogados.
Con ella coincide Ángel Benito Rodero, abogado y delegado de protección de datos: pedirnos de una forma más o menos continuada que aceptemos o rechacemos las cookies “no tendría entidad, por sí sola, para fundamentar una sanción pecuniaria si no va acompañada de otros incumplimientos relativos a la utilización de dichas cookies”.
¿Por qué? Pues porque la Ley de Servicios de Sociedad de la Información y de Comercio Electrónico (LSSI) de la que tanto hablamos al explicar temas de cookies no establece un período específico de tiempo entre que se nos muestra un aviso y el siguiente, así que las empresas se apoyan en ello para pedirnos que aceptemos sus ‘galletas’.
Benito Rodero recuerda que la Guía sobre el uso de cookies de la Agencia Española de Protección de Datos (AEPD) considera una “buena práctica” que el editor web que utiliza cookies “conserve la selección o configuración realizada por un plazo similar” al que recomienda para que se pida actualizar el consentimiento. Ese plazo no es nada más ni nada menos que 24 meses, durante los cuales se especifica que se deberían espaciar las solicitudes y no hacerse cada vez que se entra a una página web.
“El Comité Europeo de Protección de Datos, en sus directrices sobre el consentimiento, recomienda como mejor práctica la renovación del consentimiento a intervalos apropiados. Esta agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión”, explica la AEPD.
Esto, sin embargo, no es una normativa, como señalaba García, sino una recomendación, de modo que las empresas no tienen por qué cumplirla a rajatabla. La pregunta de nuestra maldita especificaba que esta insistencia a la hora de solicitar su permiso para instalar cookies sólo le ocurre cuando los deniega, mientras que el aviso aparece con menos frecuencia si se aceptan las cookies.
A esto, señala Benito Rodero, sí que se suma una dificultad, que es lograr “generar una prueba válida de que el editor web, canal de televisión, etc. sólo conserva la configuración de cookies realizada por el usuario cuando se han aceptado dichas cookies y no cuando se han rechazado, ya que en en ese proceso pueden intervenir muchos factores”.
Aquí es importante también señalar las diferencias entre navegar en una sesión normal y en una sesión de incógnito. Del modo incógnito te hemos hablado a fondo en Maldita.es: pese a no enmascarar nuestra navegación al completo, sí que activa automáticamente algunas funcionalidades de privacidad. Entre ellas, que el navegador no guarde las cookies de las páginas que visitamos.
Cada vez que navegamos en modo incógnito, se abre una nueva sesión en los sitios web que visitamos que no tiene por qué identificarnos. Piensa en tu día a día usando un navegador en tu móvil o tu ordenador: si acostumbras a entrar en Gmail, Twitter, Slack o Twitch todas las mañanas, es probable que no entres con tu usuario y contraseña cada una de las veces, sino que el navegador recuerde que tu correo es ‘x’ y tu contraseña ‘y’. Las cookies son las encargadas de que eso funcione. Sin embargo, si entramos en modo incógnito, el navegador no asociará nuestro usuario y contraseña, sino que entraremos, en el sentido literal, ‘de incógnito’.
Todo eso significa que en nuevas sesiones de incógnito siempre tendremos que aceptar o rechazar las cookies cada vez que entremos, ya que el navegador no ‘recordará’ cuáles eran nuestras opciones.
En todo caso, que un dispositivo como una smart TV esté programado para pedirnos que aceptemos o rechacemos las cookies constantemente es un comportamiento, según García, que se corresponde con un “patrón oscuro”, esa técnica online usada para obligarnos a hacer algo que en realidad no queremos hacer. “Teniendo en cuenta que el uso de determinados entornos es recurrente por el usuario, la aparición reiterada de un banner solicitando consentimiento podría condicionar al usuario para prestar su consentimiento”, señala la abogada.
Camino García también nos recuerda que, en relación con el uso de patrones oscuros en procesos de autorización de cookies, noyb, una asociación europea en defensa de los derechos digitales, ha presentado hasta 422 denuncias ante diferentes autoridades de protección de datos por malas prácticas.
¿Hay alguna manera de reportar o notificar que una página no me deja seleccionar o rechazar ciertas cookies?
Sabiendo ya todo lo que sabemos sobre cookies, nos surge una última duda: ¿qué puedo hacer como usuario si me encuentro con una página web que no me deja rechazar las cookies o que ni siquiera me muestra un aviso al entrar? Si hemos detectado que un sitio web registra más cookies de las necesarias, no nos da la opción de seleccionar cuáles quiero y cuáles no u otra mala práctica similar, podemos reclamarlo ante la Agencia Española de Protección de Datos (AEPD).
¿Denunciarlo directamente? ¿Es necesario? Siempre está la posibilidad de contactar con la entidad que maneja la página web o con su Delegado de Protección de Datos (DPO, por sus siglas en inglés), para hacerles saber que no están respetando los requisitos que exigen las autoridades de protección de datos. Por ejemplo, incluir una opción para rechazar las cookies o una para descartar las que no queremos. Sin embargo, por esta vía no tenemos certezas de que realmente vayan a cambiar algo.
Si buscamos que la empresa o entidad que controla el sitio web realmente modifique o cambie sus prácticas de recogida de cookies, lo más apropiado sería poner una reclamación ante la AEPD, tal y como nos explica Jorge Campanillas, abogado especializado en protección de datos en Iurismatica.
¿Cómo hacemos eso? ¿Cuesta dinero? No, ya os explicamos paso por paso en Maldita.es cómo denunciar una infracción relacionada con nuestros datos personales. Sí que es cierto que habrá que realizar algún que otro trámite a través de la Sede Electrónica de la Agencia y que habrá que aportar alguna documentación.
El procedimiento en este caso específico sería el mismo que otro tipo de denuncia. Accedemos al menú “Trámites” y una vez ahí seleccionamos la opción que se ajuste al motivo de la reclamación. En este caso, podemos acudir al apartado de “Otros” al no haber uno específico para la denuncia de cookies, tal y como confirma la AEPD a Maldita.es.
Recuerda que para hacer trámites de este tipo online, necesitarás contar con alguna forma de autenticación, como la Cl@ve Pin. Si prefieres presentarlo de forma física (con soporte en papel) deberás hacerlo en una oficina autorizada y junto a una serie de datos que puedes encontrar en este enlace. A través del menú "Trámites" obtendrás el justificante de tu reclamación, que deberás presentar junto al resto de información.
A medida que avancemos en el formulario electrónico veremos que no nos piden solo nuestros datos, sino información en detalle de lo ocurrido. Tendrás que presentar todas las pruebas que tengas disponibles (en este caso, pueden ser capturas de pantalla del banner de cookies y los diferentes pasos de configuración o pruebas de las cookies instaladas en nuestro ordenador o móvil por la página web en cuestión).
No más cookies, pero sí un aclaratorio
No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.
Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:
