Hacia un mundo sin «cookies» ni «scripts»: Avanzando en el derecho a la privacidad

El pasado 1 de octubre de 2019, el Tribunal de Justicia de la Unión Europea (TJUE) dictó la sentencia del asunto C-673/17 en la que resuelve sobre el problema de las «cookies» en la navegación «web» y su instalación sin consentimiento válido en el «hardware» del usuario.

Para las personas que trabajamos el aspecto jurídico de las «cookies» era una sentencia esperada y que como es habitual, se basa fundamentalmente en el informe del abogado general del TJUE Maciej Szpunar, emitido el 21 de marzo de 2019.

Desde el punto de vista jurídico, ratifica que el consentimiento debe ser otorgado por un acto afirmativo claro que establezca una indicación libremente dada, específica, informada y sin ambigüedades del acuerdo del usuario, no siendo válidas las casillas premarcadas.

Asimismo, resuelve que la autorización previa es necesaria para instalar archivos digitales en el equipo terminal del usuario, y es independiente de si se trata o no de datos personales, continuando la línea jurídica de la Directiva 2002/58

La sentencia nos ha aportado una novedad en cuanto al alcance de  la información que se ha de ofrecer al usuario, al considerar esencial avisar de la caducidad de las cookies instaladas.

Por lo demás el Tribunal opta por una lectura amplia del Reglamento General de Protección de Datos (RGPD) y al igual que el abogado general del TJUE señala obligación de informar sobre qué «cookies» son de terceros.

Este avance legal deberá ser complementado con el Reglamento de privacidad electrónica que en estos momentos se está legislando.

Considero que con esta sentencia el panorama  jurídico que se avecina es sombrío para las empresas desarrolladoras de «cookies» (advertising industry), al menos en la UE.

Así, Didier Reynders, futuro comisario europeo, mostraba esta misma semana su preocupación por el bajo nivel de cumplimiento del RGPD, y planteaba la posibilidad de realizar una Directiva Penal como nuevo instrumento legal para reforzar el derecho a la privacidad.

Desde mi punto de vista, creo que los artículos 197 y 197 bis del Código Penal ya permiten la condena de las empresas propietarias de «cookies» que recaban datos de forma ilegal e incluso la de los propietarios de páginas «web» que con su inclusión facilitan la instalación ilícita de «cookies «y la extracción de datos personales.

RECOMENDACIÓN 

Si tuviera que hacer una recomendación a los titulares de páginas «web» es que apliquen el principio de minimización de datos del RGPD y que la instalación de cookies de terceros sea la mínima necesaria.

Y es que es técnicamente imposible, salvo en un diseño ad-hoc del configurador-avisador de «cookies», bloquear las «cookies» de terceros de forma general.

Resulta curioso el caso de Quantcast, empresa de publicidad «online» estadounidense quien ha diseñado un avisador-configurador de «cookies» (que no bloquea las «cookies») con el fin de recabar consentimientos, registrarlos y evitar así, posibles acciones judiciales y es que cómo nos explicó hace un año esta empresa, más del 90% de los internautas aceptan las «cookies» sin leerse las políticas de privacidad y de «cookies».

Esta práctica de los internautas permite que algunas empresas en sus políticas de privacidad y de «cookies» avisen sin tapujos que recopilan datos como la IP, el correo electrónico, los teléfonos, las direcciones, las páginas visitadas, las direcciones y geolocalización, las contraseñas, las compras efectuadas y los medios de pago utilizados.

Un caso más grave del mundo de los «scripts», que también se instalan en el «hardware» del usuario sin consentimiento, es el de una Academia informática de Madrid que avisa que su web instala un «script» de Coinhive con el fin de “poder mostrar a sus alumnos de tecnologías Blockchain otro tipo de minado común en webs y así puedan tener una herramienta más para generar nuevos casos de uso utilizando tecnologías Blockchain. No obtenemos ningún tipo de dinero de esto ya que el tráfico de nuestra web es despreciable. En caso de seguir navegando se acepta la colaboración con nuestras acciones formativas. En caso de querer saber lo generado por nuestra web no tenemos problemas de ser transparentes y mostrar el total acumulado de hashes diarios y totales”.

La página «web» en cuestión está estafando pues la susodicha «criptomoneda» (monero) se consigue mediante un artificio o engaño y conlleva la disposición patrimonial del engañado en forma de consumo energético (artículo 248 del Código Penal).

UN GRAN PROBLEMA 

Para darnos cuenta de la magnitud del problema de las «cookies» y de la violación de derechos fundamentales, a día de escribir este artículo 4 de octubre de 2019, Cookiepedia tiene registradas 11.450.357 «cookies», que se subdividen de la siguiente forma:  Propias 4.244.901 (37 %) y de terceros 7.205.446 (63 %) de terceros.

De estas «cookies» de sesión son 3.243.142 (28 %) y son persistentes 8.207.215 (72 %). La media de instalación de «cookies» por página «web» es de 29 «cookies».

Cookiepedia ha clasificado las «cookies» en necesarias (1%), «cookies» de funcionamiento (3%) «cookies» de rendimiento (5%) «cookies» de marketing (52%) «cookies» no clasificadas (38%).

En otras palabras, el 90 % de las «cookies» del tráfico «webT invaden el derecho a la privacidad de las personas en la red.

Por eso desde el punto de vista del artículo 7.3 de RGPD es recomendable para el titular «web» facilitar la supresión de las «cookies», puesto que ha de ser tan fácil consentir como retirar el consentimiento.

Finalmente decir, que comparto la opinión de Didier Reynders y quizás la solución a estas habituales violaciones del derecho fundamental a la intimidad puede ser la vía penal y fomentar el cumplimiento normativo.

Otras Columnas por Iñaki Jáuregui Navarro:

Estas son mis políticas; si eres europeo o californiano tengo otras

¿Susto o trato?

Necesitamos herramientas dinámicas para garantizar el derecho a la privacidad

Avanzando en el derecho a la privacidad: hacia un mundo sin «cookies» y «scripts»