La Directiva de Privacidad y Comunicaciones electrónicas, ePrivacy, también conocida como la ley de cookies, está vigente desde 2002. En este artículo veremos en qué consiste esta ley, en qué estado se encuentra su futuro reglamento y cómo se ha aplicado en España.
En este artículo hablamos de:
- ¿Qué es la ley de las cookies?
- Los orígenes de la ley de la Unión Europea sobre cookies
- Contenido de la actual ley de cookies 2020 y 2021
- Aplicación de la ley de cookies en España
- Importantes novedades de la ley de cookies en 2020
- La ley cookies de la UE de 2019 vs la ley cookies de 2002
- Ley de cookies y RGPD
- Ley de cookies y Reglamento ePrivacy
La conocida como ley de cookies no es, en realidad una ley, sino que se trata de una directiva europea, en concreto la Directiva 2002/58/CE, con la que el Parlamento Europeo quiso garantizar la protección de los datos personales de los usuarios y que cada Estado miembro debía incorporar a sus marcos legales.
La apodada ley de las cookies establecía que los usuarios debían dar su consentimiento expreso para la instalación de las cookies en sus equipos, motivo por el que recibió este nombre coloquial, ya que trata directamente sobre las cookies (pequeños archivos de texto para almacenar información sobre el usuario).
Actualmente, se sigue trabajando en aprobar el Reglamento ePrivacy, que obligaría a todos los Estados miembros de la UE a cumplir su normativa (mientras las directivas no son vinculantes, sino que son recomendaciones que los países deben integrar en sus marcos jurídicos, los reglamentos sí son vinculantes y de obligado cumplimiento una vez aprobados).
La ley de cookies es la responsable de que en todos los textos legales para web deba figurar el texto de política de cookies siempre, donde deben identificarse el tipo de cookies que se usan en la web, su finalidad y sus titulares.
Como decíamos, los orígenes de la ley de la UE sobre cookies se remontan a 2002, cuando entró en vigor la Directiva ePrivacy, mediante la que se quería garantizar la protección de los datos personales de los usuarios, para asegurar el cumplimiento del artículo 8 de la Carta de Derechos Fundamentales de la UE, que dice literalmente que:
«Toda persona tiene derecho a la protección de los datos de carácter personal. […] Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada».
La ley de cookies nacía con el objetivo de garantizar la privacidad de los usuarios ante prácticas de seguimiento online, elaboración de perfiles y convertirse en el objetivo de campañas de publicidad online no deseadas.
En 2009 se modificó con la puesta en marcha de la Directiva 2009/136/CE, donde se estableció que los usuarios debían ser informados de una forma clara, comprensible e inequívoca sobre el uso de las cookies que hacía una página web que quisieran visitar y que debía aceptar de forma explícita la recopilación de sus datos personales, es decir, debía dar su consentimiento explícito para el trato de sus datos personales y, en este caso en concreto, la instalación de cookies en su navegador.
La única excepción que hacía la ley de cookies al consentimiento explícito era para los cookies técnicas, es decir, aquellas que son imprescindibles para el correcto funcionamiento de la página (como por ejemplo, las cookies de inicio de sesión).
Con la entrada en vigor en 2018 del RGPD, se produjo otra modificación, pero esta vez destinada a convertir la Directiva ePrivay en el Reglamento ePrivacy, para lo que se elaboró un nuevo borrador que incluía todos los tipos de comunicación basadas en máquinas (aplicaciones, email, metadatos de las videollamadas, etc.). Es decir, surgió una nueva ley de cookies para dar cabida a los avances tecnológicos que se habían producido desde 2002.
El contenido actual de la nueva ley de cookies 2020 y 2021 se centra sobre todo en el uso de cookies, concretamente su uso debe responder a los principios de transparencia y obligatoriedad del consentimiento.
Como ya dijimos, es necesario que antes de instalar ninguna cookie en el equipo del usuario, este debe haber sido informado de los tipos de cookies que se emplearán, qué fines tienen y quiénes están detrás de ellas. Es decir, el usuario debe conocer con carácter previo a su consentimiento y de forma clara y precisa, qué cookies se van a usar y cómo se tratarán sus datos a través de ellas.
Además, el consentimiento debe darse de forma expresa, para lo que es necesario que el usuario lleve a cabo una acción para otorgar dicho consentimiento, como puede ser pulsar el botón de «Aceptar» o marcar el check box correspondiente.
La actual ley de cookies también señala que el uso de rastreadores ha de ser transparente y mediante consentimiento libre y voluntario. El RGPD indica que los usuarios deben ser informados acerca de los rastreadores que usa una página web, su finalidad y el modo en que se tratarán los datos recabados.
Actualmente, el grupo de trabajo del Consejo Europeo responsable del Reglamento ePrivacy dispone de una nueva versión del borrador del mismo, en el que se ha simplificado el texto para acercarlo más el Reglamento General de Protección de Datos, del que se convertirá ley específica (es decir, tendrá prioridad en la materia que trata sobre el RGPD).
La ley de cookies en España está integrada en el Real Decreto-ley 13/2012, de 30 de marzo, en vigor desde el 1 de abril de 2012 y en el que se refleja la Directiva de 2009. A su vez, este Decreto-ley se integró en 2014 en la Ley 34/2002 LSSI-CE, a través del artículo 22. Se establecía así la obligación de contar con el consentimiento expreso del usuario respecto al uso de sus datos mediante la instalación de cookies, dejando como única excepción las cookies técnicas.
En 2013, la Agencia Española de Protección de Datos (AEPD) publicó una primera guía sobre el uso de cookies, hecha en colaboración con representantes de la industria. En noviembre de 2019, publicó una segunda Guía, actualizando los contenidos para adaptarse a la nueva normativa recogida en el RGPD. Y finalmente, esa segunda Guía se volvió a actualizar en 2020 para adaptar las últimas directrices del Comité Europeo de Protección de Datos.
Entre las novedades de la ley de cookies 2020, se obliga a que el consentimiento del usuario sea previo, informado y voluntario, es decir, se le debe informar de qué cookies se usan en la página (tanto técnicas como de terceros), qué fines tienen esas cookies, cómo se tratarán sus datos y quiénes lo harán. Además, el consentimiento debe ser expreso, como ya hemos dicho.
Por otro lado, se prohíbe utilizar la modalidad de «seguir navegando» como forma válida de obtener el consentimiento para usar cookies, se prohíben los llamados «muros de cookies», es decir, no se puede vincular el acceso a los servicios de una web a la aceptación de las cookies, y se obliga a informar de forma clara a los usuarios sobre las cookies de terceros y su derecho de revocación de las mismas.
Mientras que la ley de cookies de 2002 es una Directiva, la ley de cookies de 2019 es el Reglamento ePrivacy o, al menos, el borrador de ese futuro reglamento, es decir, es una ley de cookies propiamente dicha que regulará la aplicación de las instrucciones recogidas en la Directiva de 2009 y sus sucesivas modificaciones.
Como ya dijimos, el borrador de la ley de cookies prohíbe el uso de todas aquellas cookies que no sean técnicamente necesarias sin el consentimiento previo e informado del usuario, incluye ya los avances en las TIC más recientes y será aplicable a los proveedores internacionales de servicios de comunicación (igual que ocurre con el RGPD).
El usuario también tendrá que dar su consentimiento al uso de cookies en cada dominio que entre.
El objetivo del Reglamento ePrivacy es armonizar las diferentes normativas nacionales respecto al uso de cookies de los Estados miembros de la UE, de manera que todos los países compartan las mismas normas y marco jurídico en esta materia. Es decir, la nueva ley de cookies actualiza, clarifica y desarrolla la Directiva ePrivacy de 2002 y la vuelve vinculante para todos los países de la UE y el EEE (Espacio Económico Europeo).
Con la última actualización de la Guía sobre el uso de cookies, la AEPD habría ya adaptado la normativa de España a esta ley de cookies 2020.
Es fácil pensar en la ley de cookies y el RGPD como dos entes normativos diferentes, pero lo cierto es que estamos ante una situación de «una parte del todo», es decir, la ley de cookies es una ley especial del RGPD. Esto significa que desarrolla de forma específica un contenido del RGPD, en este caso el uso de las cookies.
Mientras que el RGPD es un reglamento con carácter general, que abarca muchos aspectos de la protección de datos de los usuarios, el Reglamento ePrivacy lo «reemplaza» cuando se trata de regular el uso de cookies (o lo hará una vez haya sido aprobado).
Por lo tanto la ley de cookies y el Reglamento ePrivacy son lo mismo desde 2019 (antes siempre que se hablaba de ley de cookies, se hacía referencia la Directiva 2002, modificada en 2009). Se había previsto su entrada en vigor a finales de 2020, pero el equipo de trabajo del Consejo, como ya dijimos, sigue trabajando en el borrador del Reglamento y este todavía no se ha aprobado, aunque autoridades en protección de datos como la AEPD ya ha adaptado la normativa a las nuevas exigencias. En cualquier caso, habrá que seguir atentos a las modificaciones que puedan hacerse al borrador, hasta que este finalmente sea aprobado.
Mientras, si quieres librarte de todas las cookies que has aceptado mientras navegabas por Internet, puedes recurrir a borrar las cookies de tu navegador (pero más te vale recordar todos tus usuarios y contraseñas y ser consciente de que al volver a entrar en las webs que sueles visitar, tendrás que volver a dar tu consentimiento para el uso de cookies).
Buenas tardes Silvia, esto puedes denunciarlo ante la AEPD
Citar Comentario
Citar Comentario