PUBLICIDAD
PUBLICIDAD

Avanzando en el derecho a la privacidad: hacia un mundo sin «cookies» y «scripts»

El abogado Iñaki Jáuregui Navarro comenta la sentencia del TJUE del 1 de octubre para la navegación en internetLa privacidad, uno de los temas candentes para la jurisdicción en internet.
|

El pasado 1 de octubre de 2019, el Tribunal de Justicia de la Unión Europea (TJUE)  ha dictado la sentencia del asunto C_673/17 en la que resuelve sobre el problema de las «cookies» en la navegación web y su instalación sin consentimiento válido en el hardware del usuario.

Para las personas que trabajamos el aspecto jurídico de las cookies era una sentencia esperada y que como es habitual, se basa fundamentalmente en el informe del abogado general de la Unión Europea, Maciej Szpunar, emitido el 21 de marzo de 2019.

PUBLICIDAD

Desde el punto de vista jurídico ratifica que el consentimiento debe ser otorgado por un acto afirmativo claro que establezca una indicación libremente dada, específica, informada y sin ambigüedades del acuerdo del usuario, no siendo válidas las casillas pre-marcadas.

PUBLICIDAD

Asimismo, resuelve que la autorización previa  es necesaria para instalar archivos digitales en el equipo terminal del usuario, y es independiente de si se trata o no de datos personales continuando la línea jurídica de la Directiva 2002/58.

La Sentencia nos ha aportado una novedad en cuanto al alcance de  la información que se ha de ofrecer al usuario, al considerar esencial avisar de la caducidad de las cookies instaladas.

PUBLICIDAD

Señala obligación de informar sobre que «cookies» son de terceros

Por lo demás el Tribunal opta por una lectura amplia del Reglamento General de Protección de Datos (RGPD) y al igual que el abogado general de la UE Szpunar señala la obligación de informar sobre que «cookies» son de terceros.

Este avance legal deberá ser complementado con el Reglamento de privacidad electrónica que en estos momentos se está legislando.

Considero que con esta sentencia, el panorama  jurídico que se avecina es sombrío para las empresas desarrolladoras de «cookies» («advertising industry» o sector publicitario), al menos en la UE.

PUBLICIDAD

Así, Didier Reynders, futuro comisario europeo, mostraba esta misma semana su preocupación por el bajo nivel de cumplimiento del RGPD, y planteaba la posibilidad de realizar una Directiva Penal como nuevo instrumento legal para reforzar el derecho a la privacidad.

Desde mi punto de vista, creo que los artículos 197 y 197 bis del Código Penal ya permiten la condena de las empresas propietarias de «cookies» que recaban datos de forma ilegal e incluso la de los propietarios de páginas web que con su inclusión facilitan la instalación ilícita de «cookies» y la extracción de datos personales.

PUBLICIDAD

Si tuviera que hacer una recomendación a los titulares de páginas web es que apliquen el principio de minimización de datos del RGPD y que la instalación de «cookies» de terceros sea la mínima necesaria.

Y es que es técnicamente  imposible, salvo en un diseño ad-hoc del configurador-avisador de «cookies», bloquear las «cookies» de terceros de forma general.

Resulta curioso el caso de Quantcast, empresa de publicidad «online» americana, quien ha diseñado un avisador-configurador de «cookies» (que no bloquea las cookies) con el fin de recabar consentimientos, registrarlos y evitar así, posibles acciones judiciales y es que cómo nos explicó hace un año esta empresa, más del 90% de los internautas aceptan las «cookies» sin leerse las políticas de privacidad y de cookies.

Esta práctica de los internautas permite que algunas empresas en sus políticas de privacidad y de «cookies» avisen sin tapujos que recopilan datos como la IP, el correo electrónico, los teléfonos, las direcciones, las páginas visitadas, las direcciones y geolocalización, las contraseñas, las compras efectuadas y los medios de pago utilizados.

Un caso más grave del mundo de los «scripts», que también se instalan en el hardware del usuario sin consentimiento, es el de una academia informática de Madrid que avisa que su web instala un «script» de Coinhive con el fin de “poder mostrar a sus alumnos de tecnologías «blockchain» (cadena de bloques) otro tipo de minado común en webs y así puedan tener una herramienta más para generar nuevos casos de uso utilizando tecnologías Blockchain».

PUBLICIDAD

«No obtenemos ningún tipo de dinero de esto ya que el tráfico de nuestra web es despreciable. En caso de seguir navegando se acepta la colaboración con nuestras acciones formativas».

«En caso de querer saber lo generado por nuestra web no tenemos problemas de ser transparentes y mostrar el total acumulado de hashes diarios y totales”.

La página web en cuestión está engañando pues la susodicha criptomoneda (monero) se consigue mediante un artificio o engaño y conlleva la disposición patrimonial del engañado en forma de consumo energético (artículo 248 del Código Penal).

Para darnos cuenta de la magnitud del problema de las «cookies» y de la violación de derechos fundamentales, a día de escribir este artículo 4 de octubre de 2019, Cookiepedia tiene registradas 11.450.357 «cookies», que se subdividen de la siguiente forma:

Propias 4.244.901 (37%) y de terceros 7.205.446 (63%) de terceros. De estas «cookies» de sesión son 3.243.142 (28%) y son persistentes 8.207.215 (72%).

La media de instalación de «cookies» por página web es de 29 cookies.

Solo un 1% de las cookies son necesarias

Cookiepedia ha clasificado las «cookies» en necesarias (1%), «cookies» de funcionamiento (3%), «cookies» de rendimiento (5%), «cookies» de marketing (52%), «cookies» no clasificadas (38%).

En otras palabras el 90% de las «cookies» del tráfico web invaden el derecho a la privacidad de las personas en la red.

Por eso desde el punto de vista del artículo 7.3 de RGPD es recomendable para el titular web facilitar la supresión de las «cookies» , puesto que ha de ser tan fácil consentir como retirar el consentimiento.

Finalmente decir, que comparto la opinión de Didier Reynders y quizás la solución a estas habituales violaciones del derecho fundamental a la intimidad puede ser la vía penal y fomentar el cumplimiento normativo.