Cookies y tratamiento de datos por otras bases diferentes al consentimiento

¿De dónde venimos?¿ A dónde vamos? ¿Estamos solos en la galaxia?

El art. 5.3 de la -pese a todo- vigente Directiva Eprivacy dice lo siguiente desde 2009:

  1. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.

A partir de aquí, como decía el famoso jurista Hannibal Lecter, “volvamos a los primeros principios”.

“Información” es un concepto más amplio que “datos personales”.

El art. 5.3 hace referencia a “información” en sentido amplio. No a “datos personales”, que es por supuesto, un concepto más limitado.

Esto se clarificó para siempre en las “Guidelines on behavioural advertising” del Grupo de Trabajo del artículo 29.

Que son nada más y nada menos que de 2010.

La relación entre la Directiva Eprivacy y el RGPD es de ley especial/ley general pero no te putopilles

La ley especial sólo se aplica de forma preferente sobre la norma general cuando… contiene una norma especial. Si no, no.

La norma especial en este caso es la imposición del “consentimiento por narices”® de ese art. 5.3, para el uso de DARD, o Dispositivos de Acceso y Recuperación de Datos -más bien de información- en dispositivos del usuario.

Pero la “norma especial” llega hasta donde llega.

A partir de ahí, el resto, en lo que tenga que ver con datos personales, se aplica e interpreta conforme a la norma general (RGPD).

Esto incluye, los requisitos del consentimiento y la interpretación del resto de conceptos utilizados en el dichoso articulito, relacionados o con repercusiones en el “universo datero”.

Consentimiento y… más cositas.

Y ya estaría: esta parte era lo difícil.

Cuando uno asimila esto, ya no hay ninguna dificultad en diferenciar dos cosas:

  1. Un cosa es el uso de DARD, que requiere “consentimiento por narices” ®, por imperativo del 5.3 de la Directiva (o la norma nacional que toque, la LSSI en España), salvo alguna cosa, que diría Rajoy: las famosas “cookies exentas”.
  2. El tratamiento de datos personales que en su caso se realice a través de los DARD, que como cualquier tratamiento se pueden y deben acoger a una de las bases del art 6 del RGPD. La que sea. Y aquí empieza lo divertido.

 Lo dice el EDPB… y el propio art. 5.3 de la Directiva

Esa diferenciación ya se manifestó alto y claro el EDPB en 2019.

Quiero decir que tampoco hacía falta esperar a las indigestas “Guidelines on targeting on social media users” del 2 de septiembre de 2020.

Y es que en estas, el EDPB dedica páginas y páginas a la cuestión de si éste o aquel tratamiento cabe por interés legítimo.

O sea, que no estamos hablando de algo “prohibido” ni “alegal”, diría yo.

Se ve que la facción más dura del organismo estaba muy ocupada preparando las “recomendaciones de noviembre sobre medidas adecuadas post Schrems II. Pero de ese desastre ya hablamos otro día.

Leamos juntos, mis pequeñuelos, otra vez el famoso 5.3 pero de verdad, con ojos limpios y serenos, y no con la frente marchita.

Comprobemos cómo en el segundo párrafo se hace referencia como mínimo a la base del art. 6.1.b) RGPD (medidas precontractuales, contrato).

Hay cosas más sugestivas ahí, pero también las dejamos para otro día.

Cookies exentas

¿Y qué pasa con las cookies exentas de consentimiento? La Guía de cookies de la Agencia enumera un montón en su apartado 2.1.2.

Si nos has acompañado hasta aquí, no te será difícil aplicar distintas bases de legitimación del art. 6 RGPD a esas cookies.

Porque, recordemos, si ya no hay “lex specialis” (consentimiento por narices ®) y hay tratamiento de datos personales, aplica el RGPD.

Pues a ello.

¿Se pueden utilizar cookies con base directamente en el interés legítimo?

Sí, se puede. Que nadie lo dude. Se hace todo el rato, vaya.

Por citar sólo tres ejemplos concluyentes: las de identificación de sesión, personalización de interfaz de usuario y control de fraude…

De hecho, aquí hay una de tantas cosas que rigurosamente habría que hacer y nadie hace: aunque nos eximan del consentimiento del 5.3 de la Directiva, si hay tratamiento de datos personales, aplica el RGPD, aplican el 13 o el 14 y hay que informar.

Y en la información hay que manifestar la base de tratamiento.

Esa base de tratamiento no puede ser “exento de consentimiento”.

Ni “es que me dejan”.

Los de siempre dirán: “base legal”: la ley me deja. Pero esa base de tratamiento no existe, lo diré una y cien veces. Una cosa es que la ley te “obligue” a tratar datos y otra distinta que te “habilite” a hacerlo.

La “habilitación legal” es esa base de legitimación que sólo existe en la imaginación de los más recalcitrantes eleopederos anclados para siempre en los (muchos) errores de la LOPD del 99.

Y en los casos citados, en-tre mu-chos-o-tros, esa base es “interés legítimo”.

Le paso la batura al maestro Albero.

Reforzando argumentos, corolarios y… FAQs de repaso

Si has leído a Jorge hasta llegar aquí, significa que el tema te interesa bastante y, a lo mejor, que no has arrojado por la ventana nuestro argumento con gesto de indignación.

Donde Jorge dijo Directiva ePrivacy yo digo la LSSICE…

Y es que no será para ti ninguna sorpresa que la actual redacción del artículo 22.2 de la LSSICE la tenemos desde 2012, vía el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas.

Entre las directivas transpuestas está la de ePrivacy (2009/136/CE) a la que Jorge se ha referido.

Pues bien, en el expositivo V del citado Real Decreto Ley dice que éste también modifica varios artículos de la LSSICE:

«[…] debiéndose destacar la nueva redacción que se da a su artículo 22.2, para exigir el consentimiento del usuario sobre los archivos o programas informáticos (como las llamadas «cookies») que almacenan información en el equipo de usuario y permiten que se acceda a ésta;

«Sobre los archivos o programas informáticos«. Significativo, ¿verdad?

Recordemos que hasta ese momento (marzo 2012) la única obligación que tenían los responsables de sitios web era ofrecer al usuario la posibilidad de rechazar la implantación de cookies, es decir, un sistema opt-out.

El paso a un sistema de opt-in (información más consent antes de instalar la cookie no exenta) supuso en aquel momento una gran revolución y el «consentimiento» lo acaparó todo, la herramienta técnica y el dato tratado.

Parapetados en la redacción del nuevo artículo 22.2 de la LSSICE (concretamente en la mención rotunda que ésta hace del consentimiento) y refrendados por una Ley Orgánica 13/1999 (la «vieja» LOPD, guiño a D. Francisco Javier Sempere) donde el consentimiento era «mucho consentimiento» y las demás «probes» bases (recordemos que el interés legítimo fue cercenado) jugaban en el espacio que aquel les dejaba, muchos hemos pensado que los datos personales recogidos, comunicados, transmitidos o de otra forma tratados vía cookies y tecnologías similares no podía realizarse bajo otra legitimación que no fuera la anuencia expresa del interesado.

Y es el error del que conviene salir. Amigas, amigos, se trata de un consentimiento a la herramienta (cookie), no de un consentimiento base de legitimación del RGPD al dato personal recogido, comunicado o tratado por la cookie (herramienta).

La ICO (autoridad británica de protección de datos) lo tiene claro. Observad conmigo este flowchart:

 

Puedes encontrar este flujograma y una estupenda explicación de ICO.uk, aquí.

Con todo lo que hemos expuesto hagamos una seria de improvisadas FAQs

A-. ¿Es posible el interés legítimo para instalar cookies?

No. El interés legítimo no es ninguna habilitación legal para instalar DARD en dispositivos o terminales de los usuarios. Por eso, no es cuestión de si el interés legítimo debe o no debe aparecer al mismo nivel del consentimiento o como opción a éste en los CMP (plataformas de gestión del consentimiento), sino que, en su caso, habrá de exponerse el extracto del balancing test (juicio de ponderación) en la segunda capa informativa.

B-. ¿Es posible tratar datos personales recogidos vía cookies con base en los intereses legítimos del editor?

Ya lo ha dicho Jorge. Puede haber cookies cuya instalación no requiera consentimiento (aquellas técnicas para efectuar la transmisión de la comunicación o las estrictamente necesarias para prestar un servicio solicitado por el interesado) que traten datos personales, como la dirección IP, por ejemplo y que se traten por un interés legítimo del editor en mantener la seguridad del sitio web (p ej impedir a una determinada IP el acceso tras varios intentos erróneos de login en un área de usuarios) o para localizar un intento de pago fraudulento en una tienda online. Recordemos que los intereses legítimos reconocidos como base de legitimación en el art. 6.1. f del RGPD no son solo los intereses del responsable, sino también los de «terceros», y que incluso, a veces se da esa magia de que los intereses del responsable y los del interesado están alineados.

B.bis-. A ver, a ver, a ver… Entonces ¿se pueden tratar datos personales a través de cookies por interés legítimo?

Sí.

La precondición es que el usuario haya consentido el uso de cookies.

Como hemos dicho (como dice, el EDPB), una vez consentido por el interesado el acceso a su dispositivo, puedes optar para tu tratamiento por la base que mejor aplique.

Eso sí, amigo marquetero, si optas por el interés legítimo, hay un par de cosillas que tienes que cumplir.

Dando por hecho que has hecho tu ponderación de intereses y que te sale favorable (lo sé: soy un tío optimista), tienes dos requisitos formales -no pequeños- que cumplir:

  • Informar previamente al interesado del tratamiento que pretendes Y
  • Darle la posibilidad real de oponerse al mismo, antes de empezar con ello.

Y puestos a esto, yaaaaa la cosa se complica.

De hecho, si te tratas de configurar de forma 100% compliant el CMP de One Trust (buena suerte con eso), hemos encontrado una y sólo una configuración válida para el interés legítimo en cookies de terceros.

C. ¿Necesito dos consentimientos del usuario? ¿Uno para la cookie y otro para el tratamiento de datos recogidos por la cookie?

No. Si en el CMP y en la segunda capa (recordamos que el usuario ha de poder acceder a la información ampliada sin tener que aceptar las cookies) has informado de las condiciones del tratamiento y como editor estimas que la consecución de la finalidad solo se puede sostener en la base del consentimiento, la obtención de este, con la gestión del CMP, se haría simultánea y conjuntamente para la cookie y para el tratamiento de datos.

D-.¿Qué significa entonces que apliquen consecutivamente la LSSICE y el RGPD?

Tanto si la cookie precisa de consentimiento, como si no (en el sentido de la Directiva y de la LSSICE), en tanto que la cookie recoja, comunique, transmita, o de otra forma trate datos personales, nos metemos de lleno en el RGPD y en sus principios. Por tanto, puede haber cookies técnicas y estrictamente necesarias, en el sentido de la Directiva y de la LSSICE, que SÍ requieran obligatoriamente que se cumpla con lo previsto en el art. 13 RGPD respecto a transparencia y deberes de información. Por tanto, importante, no todas las cookies técnicas o estrictamente necesarias estarían exentas del deber de informar.

E-. ¿Entonces las analíticas…?

La pregunta del millón. Te lo contamos en la próxima ocasión.

Coautores: Jorge García Herrero y Ángel Benito Rodero