El pasado 14 de enero la Agencia de Protección de Datos impuso la primera sanción (Resolución 02990/2013) a un conjunto de sitios web por el incumplimiento de los requisitos legales establecidos para el uso correcto de las cookies. La resolución ha supuesto un punto de inflexión en el uso de las cookies y el cumplimiento de las obligaciones en relación con éstas.
Las cookies (o galletas informáticas) pueden ser definidas como pequeñas informaciones enviadas por un sitio web y que son guardadas en el navegador del usuario. El objetivo de dicha funcionalidad es almacenar información sobre el usuario (sus preferencias y hábitos de navegación) para ofrecerle un contenido más apropiado según sus intereses.
Además, las cookies pueden ser borradas, aceptadas o bloqueadas e incluso algunas caducan y de aquí sale su clasificación generalmente más utilizada:
- Session cookies son aquellas que tienen un tiempo de vida corto, ya que son borradas cuando se cierra el navegador.
- Persistent cookies se usan para rastrear el usuario guardando información de su comportamiento en una web. Solo pueden ser borradas limpiando los datos del navegador o a veces también expiran por sí solas.
- Secure cookies almacenan información cifrada para prevenir posibles ataques maliciosos por parte de terceros.
- Zombie cookies son aquellas que se regeneran sin que el navegador pueda hacer nada, ya que se guardan en el dispositivo y no en el navegador. Su principal finalidad es que se pueda acceder a ellas sin importar el navegador usado. Ahora bien, son una amenaza para la privacidad y seguridad del usuario.
Así pues, aunque no se considera que las cookies sean spyware (programas espía) la realidad es que pueden causar problemas de privacidad, ya que sin lugar a dudas tienen implicaciones importantes en materia de privacidad y anonimato de los usuarios de la web. Por ello, se aprobó la Guía sobre el Uso de las Cookies (la Guía Cookies), un documento orientativo en donde la Agencia Española de Protección de Datos (AEPD) definió los criterios a seguir para utilizar las cookies de acuerdo con la normativa vigente. En especial, el deber de información al usuario y el deber de obtener su consentimiento.
Atendiendo al contenido de esta resolución, la AEPD se fijó en un conjunto de páginas web que no cumplían con los requisitos legales establecidos. En concreto, consideró que no proporcionaban una información clara y completa sobre las cookies instaladas como tampoco, sobre el uso y finalidades de las mismas. El modelo de transmisión de la información de dichos sitios web era por capas, un sistema que va completando la información dada al usuario en distintos momentos, tal como indica la vigente normativa en materia de protección de datos, pero no cumplían con los requisitos marcados en la Guía.
Sin duda, la resolución ha marcado un punto y aparte en la forma de proceder en la utilización de las cookies. De ahora en adelante los prestadores de servicios de la sociedad de la información ya dispondrán de un criterio e interpretación a seguir a la hora de implementar y utilizar cookie. Y sin duda, el respeto y la protección al derecho a la privacidad de los usuarios deberá de situarse como el punto de mira, procurando siempre que vaya de conformidad con la normativa vigente.