Sala de Prensa

5 julio, 2021

Interés legítimo como base legitimadora en el uso de las cookies y otras tecnologías de rastreo

Tribuna de Dmitry Alekseev, abogado de ECIJA, para Economist & Jurist.

La utilización de cookies y otras tecnologías de rastreo está sujeta al consentimiento del usuario, salvo en algunos escenarios que implican un riesgo menor a la privacidad del usuario. No obstante, los casos de uso suelen estar ligados a situaciones tasadas por parte de los reguladores. ¿Cuándo, entonces, se pueden utilizar este tipo de cookies sin la necesidad de recoger el consentimiento del usuario?

Introducción y marco regulador

En un mundo donde los usuarios son cada vez más conscientes de su privacidad, desde hace algunos años ciertos actores han ido tomando iniciativas para intensificar la protección de la privacidad de los usuarios, otorgándoles más herramientas para plasmar sus preferencias en la práctica. Como contrapartida, este tipo de cambios suponen un duro golpe a  las formas de hacer las cosas ya consolidadas. Esto, unido a una serie de resoluciones y guías tanto nacionales como comunitarias en la materia que imponen numerosas obligaciones, deriva en que los prestadores de servicios, editores de páginas web y demás participantes en el ecosistema se planteen la posibilidad de utilizar del interés legítimo como base legitimadora en el uso de las cookies.

Fundamentalmente, el marco regulador de las cookies tiene dos pilares: por una parte, la Directiva sobre la privacidad y las comunicaciones electrónicas de 2002 (Directiva ePrivacy) con casi veinte años a sus espaldas, implementada en nuestro país a través de la LSSI. Por otra parte, en caso de que las cookies recopilen datos personales -que es lo que pasa en la mayoría de los casos-, el RGPD, incluido en nuestro ordenamiento jurídico mediante la LOPD. Teniendo en cuenta que la Directiva ePrivacy no es particularmente elocuente a la hora de regular la utilización de las cookies, y el futuro Reglamento ePrivacy -texto legal que vendrá a sustituir la Directiva actualmente vigente- sigue en fase de negociación en las mesas de las instituciones europeas, el grueso de la regulación se realiza a través de guías publicadas por organismos de control nacionales, como la AEPD en España o CNIL en Francia. Una de las notas que esto supone se traduce en la lógica discrepancia entre las distintas posturas, incluyendo respecto del uso de interés legítimo.

Obligaciones básicas de prestadores de servicios

Partiendo de la normativa que se encuentra en vigor, un editor deberá informar y solicitar el consentimiento al navegante como regla general, debiendo ser ese consentimiento expreso, claro y “real”. De nada sirve tener un aviso o primera capa informando sobre el uso de mecanismos de rastreo si el usuario no es capaz de expresar sus preferencias, y en particular, rechazar la utilización de cookies no esenciales. Un ejemplo de estas prácticas defectuosas es una primera capa que, en mayor o menos medida, cumple con los deberes de información pautadas por la AEPD, pero únicamente incluye un botón de aceptar y otro a la política de cookies. En este caso es manifiesta la falta de un mecanismo real para que el usuario exprese sus preferencias.

Tampoco es posible interpretar la ignorancia o falta de interacción con el aviso de cookies como un consentimiento tácito, una cuestión que la propia AEPD -a raíz de cierto descontento por parte de las instituciones europeas- tuvo que ratificar al no concordar con la faceta inequívoca del concepto de “consentimiento” dado por el RGPD.

Excepciones a la regla general del consentimiento

Sin embargo, existen excepciones a la regla general de solicitar la autorización del usuario para el uso de tecnologías de rastreo. El propio artículo 22.2 de la LSSI indica la posibilidad del uso de dispositivos de almacenamiento y recuperación de datos sin requerir el consentimiento del usuario para efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas, o cuando sea estrictamente necesario en el marco de la prestación de un servicio expresamente solicitado por el destinatario. La Guía sobre cookies de la AEPD aclara y, sobre todo, indica algunos ejemplos de cookies exceptuadas, basándose en el Dictamen 4/2012 del GT29 y agrega ejemplos propios adicionales.

Así, a modo ilustrativo, no es necesario informar ni obtener consentimiento para las cookies cuyo propósito es realizar el balanceo de carga, esto es, permitir la transmisión de una comunicación. Tampoco sería necesario en caso de que se utilicen mecanismos de rastreo para finalidades de identificación y seguridad del usuario, acceder a partes de acceso restringido, recordar los productos incluidos en el carrito de compra, gestionar las transacciones -incluyendo con finalidades de control de fraude en el pago- o habilitar contenidos dinámicos, dado que se entienden como necesarias para prestar el servicio solicitado por el usuario.

Curiosamente, hay algunos ejemplos dados por la AEPD que parecen, a priori, desmarcarse del margo general establecido por el Dictamen 4/2012. Por ejemplo, la AEPD considera que las cookies dedicadas a contar visitas (clasificadas en el grupo de “técnicas”, aunque con finalidad claramente analítica o de medición) a efectos de la facturación de licencias del software sobre el que está basado el servicio también son necesarias para prestar el servicio al usuario, mientras que el citado Dictamen es más restrictivo en este sentido, ya que por una parte, insiste en la obligatoriedad de un vínculo entre el servicio expresamente solicitado y la necesidad de prestar el servicio, y por otra, manifiesta claramente que las cookies analíticas no pueden incluirse dentro de las excepciones habilitadas por la normativa.

En otras palabras, siguiendo la argumentación de la AEPD, si no se utilizaran estas cookies, no se podría prestar el servicio, lo que no parece que alineado con el Dictamen 4/2012, no sólo porque se trata de cookies analíticas, sino también porque, estrictamente hablando, estas cookies son necesarias para el cumplimiento de la relación contractual entre el prestador del servicio -editor de la página web- y el proveedor de software, pero no para prestar un servicio expresamente solicitado por el usuario.

Por analogía, la casuística anterior podría extenderse a escenarios donde el editor de una página web -normalmente, un marketplace o tienda online- utiliza mecanismos de rastreo de terceros para realizar un seguimiento de un usuario que es redirigido a dicha página web desde el entorno de un afiliado (por ejemplo, un blog). Si bien es evidente que no son necesarias de cara a prestar un servicio al usuario, estos mecanismos de rastreo sí son imprescindibles para dar cumplimiento a las obligaciones contractuales que el editor de una página web tiene con los afiliados. Por tanto, siguiendo con el mismo criterio y sin perjuicio de clarificaciones por parte de la AEPD, parece ser que podrían clasificarse como “técnicas” a pesar de tener vocación de cookies analíticas. Además, debe tenerse en cuenta que el (escueto) subapartado dedicado a las cookies de análisis dentro de la Guía sobre cookies se limita a poner de manifiesto la postura del GT29 en relación a la necesidad del consentimiento y no exponer criterio propio, dejando asimismo la puerta abierta a la posibilidad del uso de interés legítimo siempre y cuando se cumplan algunos requisitos.

Y, ¿qué pasa con los datos personales?

Recordemos que la LSSI es la ley especial respecto del RGPD y la LOPD y, por tanto, tiene prevalencia. De forma más o menos exitosa, establece un modelo en el que un único consentimiento otorgado por parte del usuario cubre tanto la utilización de los mecanismos de rastreo como el tratamiento de datos, en caso de que dichos mecanismos accedas a la información de carácter personal de los usuarios.

En vista de lo anterior, los escenarios que involucran tratamientos de datos personales en la práctica se suelen apoyar en dos bases legitimadoras principales: el consentimiento otorgado por el usuario, y el interés legítimo perseguido por el responsable del tratamiento (arts. 6.1.a y 6.1.f del RGPD respectivamente). Normalmente, cuanto más intrusiva sea la naturaleza de una cookie, más posibilidades habrá de tener que optar por la vía del consentimiento expreso, sobre todo, si existe perfilado para fines comerciales de por medio. En el otro extremo, si el usuario se encuentra o está a punto de entrar en una relación contractual con el prestador de servicios -compraventa de productos, adquisición de servicios, etc.- está justificado el uso del interés legítimo para tratar ciertos datos personales para perfeccionar el contrato, como la dirección IP del usuario con el objetivo de detección y prevención del fraude.

Por último, no es disparatado defender los intereses legítimos del prestador de servicios si no prevalecen sobre los intereses, derechos y libertades de los interesados. Volviendo al ejemplo particular dado por la AEPD en su Guía sobre cookies, la utilización del interés legítimo de un editor de una página web en la utilización de mecanismos de rastreo para poder cumplir con sus obligaciones contractuales contraídas con terceros es (o debería ser) válido, siempre y cuando, por una parte, se realice una ponderación previa de los derechos y libertades de los interesados y los intereses del responsable. Por otra parte, deberá limitarse el alcance e intrusismo de la cookie en cuestión a la finalidad perseguida desde el punto de vista de cantidad y tipología de datos recogidos, y que deberá estar en todo ligada a o en el marco de una de las excepciones previstas por la LSSI.

Futuro

El marco actual (la Directiva ePrivacy y la LSSI) sufrirá cambios con la aprobación del Reglamento ePrivacy, cuyo nacimiento estaba previsto para mayo de 2018. Sin embargo, a fecha de la elaboración del presente artículo, el texto final del Reglamento ePrivacy sigue en fase de negociación entre el Parlamento Europeo, el Consejo y la Comisión.

Sin perjuicio de lo anterior, el último borrador del texto que se dio a conocer a principios de 2021 introduce unos interesantes cambios, uno de los cuales es la permisibilidad de utilización de ciertos tipos de cookies analíticas sin el consentimiento del usuario. No obstante, todavía habrá que esperar al texto final de la norma para poder hacer declaraciones específicas.

Por otra parte, no debe olvidarse la progresiva restricción en el uso de rastreadores de terceros, en el marco de una corriente que cuenta con la participación de jugadores muy relevantes en el mercado, como Apple y Mozilla. Sin embargo, quizás el detonador haya sido la decisión de Google de dejar de utilizar cookies de terceros a partir de 2022, una declaración de especial importancia teniendo en cuenta que su navegador Chrome es utilizado por aproximadamente el 70% de los usuarios.

Este cambio del paradigma podría influir en la forma de uso de rastreadores: en la gran mayoría de los casos de uso, las cookies utilizadas son de terceros con enfoque en acciones comerciales y publicidad comportamental. Sin cookies de terceros en la práctica, la industria tomará un giro hacia otras alternativas que, indudablemente, presentarán otros desafíos.

Conclusiones

Si bien es cierto que el RGPD (y, por tanto, la LOPD) deja cierto margen de maniobra a los responsables de tratamiento que quieran utilizar el interés legítimo como base legitimadora para los tratamientos, ese margen posteriormente se limita por la LSSI, al únicamente contemplar la posibilidad de su uso para dos escenarios específicos prácticamente sin espacio para interpretación favorable a los prestadores de servicios. La LSSI que, recordemos, se basa en una Directiva ePrivacy de ya cierta antigüedad, y que simplemente no puede mantener el ritmo de todos los avances acaecidos desde su aprobación, tanto a nivel tecnológico como de formación de los usuarios en esta materia para poder tomar decisiones conscientes.

Además, convendría igualmente poner de manifiesto que el Dictamen 4/2012 se aprobó bajo el marco de la Directiva 95/46/CE, de Protección de Datos. Esto implica que, a diferencia del RGPD, que reconoce la madurez de los actores para tomar sus propias decisiones a la luz de las circunstancias particulares de un tratamiento y pone herramientas para cumplir, la Directiva 95/46/CE se centra en emitir e imponer obligaciones concretas a los involucrados, con un enfoque claramente proteccionista, diciendo qué, cuándo y cómo hay que hacer las cosas. Situación similar ocurre con la Directiva ePrivacy, íntimamente ligada a la (ya derogada) Directiva de Protección de Datos.

Por último, debe reiterarse la falta de uniformidad en los criterios nacionales relativo sal uso de las cookies: mientras que algunas agencias de protección de datos son restrictivas, otras autoridades como la CNIL francesa extienden la posibilidad del uso del interés legítimo a otras cookies y finalidades con sujeción a unos requisitos, como las analíticas, lo que a priori entra en conflicto con el Dictamen 4/2012.

 

TRES PRINCIPALES CITAS EXTRAIDAS DEL TEXTO:

  • Hay algunos ejemplos dados por la AEPD que parecen, a priori, desmarcarse del margo general establecido por el Dictamen 4/2012.
  • Si bien es cierto que el RGPD […] deja cierto margen de maniobra a los responsables de tratamiento que quieran utilizar el interés legítimo como base legitimadora para los tratamientos, ese margen posteriormente se limita por la LSSI.
  • El Dictamen 4/2012 se aprobó bajo el marco de la Directiva 95/46/CE […]. Esto implica que, a diferencia del RGPD, que reconoce la madurez de los actores para tomar sus propias decisiones[…], se centra en emitir e imponer obligaciones concretas a los involucrados, con un enfoque claramente proteccionista.

NORMATIVA:

  • Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).
  • Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
  • Ley Orgánica  3/2018,  de  5  de  diciembre,  de  Protección  de  Datos Personales y garantía de los derechos digitales.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

OTROS:

  • Dictamen 4/2012 sobre la exención del requisito de consentimiento de cookies (GT29, 2012).
  • Guía sobre el uso de las cookies (AEPD, Julio 2020).