Bienvenido a mi página personal. Mi espacio web para compartir contigo mi visión de la abogacía, algunas conclusiones jurídicas, impresiones y estudios. A través de esta página puedes acceder a mi perfil profesional y personal; y contactar conmigo si lo deseas.

domingo, 15 de abril de 2012

Ley Cookie

La conocida como Ley Cookie obliga a los propietarios de los espacios web profesionales a impedir que se instalen coockies en los ordenadores de sus usuarios, a menos que éstos hayan prestado su consentimiento, debidamente informado con anterioridad.

¿Su fundamento? Son herramientas con las que se pueden llevar a cabo acciones de spyware para conseguir información sobre los hábitos de navegación del usuario y utilizar los datos personales obtenidos sin su consentimiento con fines comerciales.

Se trata del Real Decreto-Ley 13/2012, de 30 de marzo, que por fin recoge el mandato de la Directiva de la UE de 2009. Y afecta concretamente a la redacción del art. 22 de la LSSI:

Artículo 22.2 de la Ley 34/2002. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

1.- ¿A quién afecta?

A todas las empresas y profesionales con página web y otros prestadores de servicios de la sociedad de la información, siempre que se cumplan al menos uno de los siguientes requisitos:
- Estén establecidos en España
- Estén establecidos fuera de España pero dirijan sus servicios específicamente al territorio español
- Resto de los casos del artículo 2 de la Ley 34/2002

2.- ¿A qué obliga?

Únicamente se permite el uso e instalación de coockies en los siguientes casos:
- Coockies de carácter técnico.
- Coockie estrictamente necesaria.
- Coockie sin capacidad de identificar al usuario: antes de instalarla en el ordenador del usuario, éste debe haber sido  informado de forma clara y completa sobre su utilidad.
- Cookie con capacidad de identificar al usuario: pero antes de instalarla en el ordenador, éste debe haber sido informado de forma clara y completa sobre su utilidad y la finalidad del tratamiento que se vaya a llevar a cabo con sus datos de carácter personal.
- Coockies aceptadas conforme configuración del navegador: En caso de que el usuario hubiera realizado una acción expresa para configurar su navegadorde forma que acepte la instalación de coockies, las páginas web podrán instalarlas de forma automática. Esto obliga a la página web a reconocer el navegador y comprobar que la versión utilizada por el usuario sea una que o bien no acepte coockies por defecto o bien haya obligado al usuario a decidir sobre su aceptación durante la instalación o actualización del mismo.

Fuera de estos supuestos, queda prohibida la instalación de coockies en terminales de usuarios.

3.- ¿Cómo se debe informar?

Existen varios métodos de informar al usuario de forma válida:
a.- Página de bienvenida, con información sobre coockies y botón de aceptar.
b.- Pop-up previo que suspenda la carga de la página hasta la aceptación por el usuario.
c.- Cabecera o pie de página con información y una caja de aceptación.
d.- Paso previo de aceptación dentro del cuadro de reproducción de vídeos, juegos y otras aplicaciones web.

4.- ¿De qué se debe informar?

El contenido de la información para que el usuario preste su consentimiento debe incluir:
- Qué es una coockie
- Para qué usa coockies el sitio web
- Qué coockies en concreto van a instalarse
- Dónde conseguir más información sobre las coockies
- Cualquier otro aspecto relevante.

Como sugerencia, existe una herramienta que se puede utilizar para cumplir con la Ley Coockie: Coockie Control .

5.- ¿El contenido informativo en el Aviso Legal es suficiente?

En principio, no es suficiente; salvo dos excepciones:

- Páginas de registro: El Aviso Legal sí servirá para informar sobre aquellas coockies que se instalen en un momento posterior. Por ejemplo, aquellas páginas que ofrezcan a sus usuarios procedimientos  de registro podrán incluir en el Aviso Legal o en las condiciones de registro la información  relativa a las coockies que s eles vayan a instalar. 

- Servicios solicitados por el usuario: En el Aviso Legal se tendrá que incluir información sobre las coockies necesarias para la prestación de servicios que el usuario pueda solicitar a través del sitio web.

No es necesario informar  acerca de las coockies que se instalen en el navegador del usuario como consecuencia de procedimientos de autenticación OpenID y OAUTH, por cuanto ésta se realiza  fuera del sitio principal.

6.- Si la página web está alojada en Facebook, ¿se da cumplimiento a la Ley?

Por el simple hecho de que esté alojada en ese prestador de servicios, no se da cumplimiento la Ley.

7.- ¿Cómo es el proceso de adecuación a la Ley de Coockies?

Cada caso, necesita un análisis pormenorizado y detallado. No obstante, el proceso es el siguiente:
a.- Auditoría de coockies
b.- Inclusión de información sobre coockies en el aviso legal de la web.
c.- Desarrollo informático de aplicación que bloquee la instalación de coockies y muestre un aviso legal informativo adecuado a la norma.

8.- ¿Desde cuándo es obligatorio el cumplimiento de la Ley?

En España, desde el 1 de abril de 2.012

9.- ¿Cuál es el riesgo por el incumplimiento?

Sanción de 30.000 euros (o hasta 150.000 euros, en caso de que el incumplimiento sea significativo); ex arts 38 y 39 de la LSSI.

No obstante, el importe de la multa tendrá en cuenta la repercusión social de la infracción cometida, el número de usuarios afectados, la gravedad del ilícito...