La cada vez mayor diversidad de técnicas existentes par obtener información de los usuarios en internet, unida a las nuevas exigencias en materia de protección de datos, hacen necesaria a aprobación de una ley de cookies que establezca una normativa unificada. Pero, ¿cuál es la situación actual de la legislación sobre cookies en la Unión Europea y en España?
¿Qué es la ley de las cookies impulsada por la UE?
Antes de entrar en materia, es necesario establecer la definición de cookie como aquel archivo que se guarda en el navegador del usuario y que contiene datos como su nombre, ubicación o historial de navegación, entre otros datos.
Las cookies tienen su origen en el año 1994 en el navegador Netscape, y desde entonces se han convertido en una poderosa herramienta para rastrear a los usuarios de internet. Por ese motivo, han surgido diversas directivas que buscan controlar y legislar el uso que se hace de ellas.
Una de las más importante es la directiva ePrivacy. Esta directiva fue creada en el año 2002 y modificada posteriormente en 2009. Sin embargo, con la entrada en vigor del RGPD (Reglamento General de Protección de Datos) a nivel Europeo, se hace necesaria una nueva normativa que se adapte a los tiempos y a las exigencias de los avances tecnológicos.
Por ello, en la Unión Europea se ha impulsado la creación de una regulación ePrivacy que tenga rango de ley, es decir, que sustituya a la actual directiva ePrivacy la cual solo contiene recomendaciones sobre el uso de las cookies, pero no establece obligaciones ni sanciones por su incumplimiento.
Es decir, aunque la directiva ePrivacy es denominada comúnmente como «Ley de Cookies», lo cierto es que no es una ley en sí misma, por lo que es necesario actualizar esta directiva para crear una verdadera regulación europea en la materia.
Los orígenes de la ley de la Unión Europea sobre cookies
Los orígenes de la Ley de cookies se pueden encontrar en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos. Dicha directiva alecciona a los Estados miembros de la Unión Europea a tomar las medidas necesarias para la seguridad en el tratamiento de los datos personales y para garantizar su intimidad.
Por su parte, la Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, adapta lo dispuesto en la normativa anterior al entorno de las comunicaciones electrónicas, con el objetivo de proteger los datos de los usuarios que utilizan estos medios de comunicación, independientemente de las tecnologías empleadas.
Contenido de la actual ley de cookies
Básicamente, la directiva ePrivacy trata de establecer una pautas de actuación sobre lo que las webs, empresas y proveedores de servicios pueden hacer con os datos digitales de los usuarios. Además, determina las bases para la obtención del consentimiento y la forma adecuada de tratar dicha información.
Sin embargo, muchos de los principios de la ley de cookies ya se han quedado desfasados, y ya no están en consonancia con la actual normativa sobre protección de datos (RGPD).
Por ejemplo, el RGPD establece que los responsables del tratamiento han de obtener el consentimiento expreso del usuario para tratar sus datos personales. Este consentimiento ya no puede ser tácito y el usuario lo ha de otorgar mediante una acción voluntaria e inequívoca.
Sin embargo, la directiva ePrivacy es mucho más confusa al respecto y solo dice que una web solo ha de detener las funciones de las cookies hasta que el usuario otorgue su consentimiento, pero no dice cómo se ha de otorgar dicho consentimiento. Esto ha dado lugar a que, hasta ahora, muchas páginas web solo hayan mostrado avisos con mensajes como «esta web utiliza cookies para mejorar la experiencia del usuario«, y un botón para aceptar haciendo clic en «OK». Es decir, de esta manera solo se informa al usuario sobre el uso de cookies, pero no se le solicita un consentimiento real.
La ley sobre cookies actual no solo trata el tema de las cookies, sino que en realidad se refiere a la privacidad en general del usuario en internet. Esto incluye qué datos pueden recabar las empresas, con qué finalidad, cómo se debe tratar esa información y con quién pueden compartirla.
En todo caso, el objetivo es otorgar una transparencia mayor a los usuarios. El primer paso se ha dado con el RGPD y con las respectivas normativas nacionales (en España la LOPDGDD), y el siguiente será crear una nueva regulación ePrivacy adaptada a los tiempos actuales.
Aplicación de la ley de cookies en España
La ley de cookies en España viene determinada por lo dispuesto en el RGPD (Reglamento General de Protección de Datos), la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales) y la LSSI-CE (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico).
Sin embargo, bien es cierto que ninguna de estas normativas hace casi ninguna referencia específica sobre el uso de cookies. Por ello, la Agencia Española de Protección de Datos (AEPD) ha creado una Guía para cumplir con la ley de cookies en el país.. El objetivo de esta guía, a su vez, es adaptar la normativa española a las directrices sobre el uso de cookies establecidas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD).
Entre las actualizaciones sobre el uso de cookies que ha impuesto el Comité Europeo de Protección de Datos está la NO aceptación de la opción «Seguir navegando» como prueba de consentimiento, y la prohibición de usar los llamados «muros de cookies» como método de limitación de acceso del usuario a los contenidos de una web.
La ley cookie de la UE de 2019 vs la ley cookie de 2002
Básicamente, la principal diferencia entre ambas es que la directiva ePrivacy de 2002 es una disposición jurídica que no tiene rango de ley en cada país. Cada uno de los Estados miembros ha de adaptar dichas disposiciones a su propias circunstancias.
Por contra, el reglamento ePrivacy que se pretendía poner en vigor en 2019 (y estamos en 2021 y aún no se ha aprobado) es un reglamento, es decir, se trata de una ley europea con carácter vinculante y que entraría en vigor en toda Europa. La intención era que el ePrivacy entrara en vigor a la vez que el RGPD, pero ha sido imposible debido a las desavenencias entre los Estados miembros de la UE.
El objetivo del reglamento ePrivacy es completar, extender y otorgar rango de ley a nivel europeo a directiva ePrivacy de 2002, estableciendo un marco normativo común adaptado a la nueva realidad tecnológica.
Ley de cookies y RGPD
Por todo lo que hemos comentado anteriormente, lo más parecido que existe en la actualidad a una ley de cookies 2020 es el RGPD. Sin embargo, lo cierto es que este reglamento trata sobre la privacidad y protección de datos de forma general, de hecho, tan solo menciona la palabra «cookie» una sola vez.
La directiva ePrivacy sí trata de forma mucho más específica sobre la política de cookies, pero teniendo en cuenta que es una normativa que se actualizó por última vez en el año 2009, sobra decir que se trata de una directiva que se encuentra muy desfasada, y que ya no sirve con añadirle parches y nuevas actualizaciones, sino que se requiere una revisión total de la misma..
Ley de cookies y Reglamento ePrivacy
La directiva ePrivacy ha sido denominada como Ley de cookies porque es la normativa que más a fondo a tratado la cuestión de las cookies. Sin embargo, no es una ley como tal. El futuro reglamento ePrivacy sí será una verdadera Ley de cookies, en la que se busca, entre otras cosas:
- Establecer métodos de consentimiento basados en el doble opt-in
- Obligar al usuario a habilitar las cookies que desee previamente en su navegador.
- Convertir los banners en simple información adicional para que el consentimiento se otorgue de forma independiente, explícita y voluntaria.
- Definir la manera en que las empresas pueden usar las cookies, la manera de tratar la información de los usuarios, el período de vigencia de las cookies, su cesión a terceros o cuándo y por qué deben eliminar las cookies.
Lo cierto es que la nueva ley de cookies todavía no tiene una fecha definitiva. Hasta que sea redactada y aprobada, cada país de la UE tendrá que guiarse por lo establecido en el RGPD y en su normativa nacional de protección de datos. En el caso de España, el uso de cookies está determinado por la Guía de la AEPD, que recoge las actualizaciones impulsadas por el Comité Europeo de Protección de Datos.
Escribe aquí tu comentario