Las directivas europeas incluyen las obligaciones de las páginas web de incluir 'banners' de 'cookies' para usuarios europeos con un botón para 'rechazarlas' en primera capa, que no aparenten que el consentimiento es la única manera de seguir navegando y que los colores y contrastes no induzcan a consentir.
El tratamiento de datos en páginas de la Administración pública: ¿interés público o actividad económica?
|
12/3/2023 06:48
|
Actualizado: 13/3/2023 11:07
|
La normativa europea sobre protección de datos ha puesto especial atención a las ‘cookies’ analíticas en los últimos años. Estos dispositivos almacenan y recuperan datos de los usuarios de plataformas web para medir su actividad e introducir mejoras en función a su análisis, y su uso por parte de las Administraciones públicas debe regularse dependiendo de si se consideran prestadores de servicios de la sociedad de la información o no.
Es importante destacar que las ‘cookies’ analíticas requieren del consentimiento del usuario al no ser necesaria para el funcionamiento del servicio. La Agencia Española de Protección de Datos, con su «guía sobre el uso de las ‘cookies'», y los informes del Comité Europeo de Protección de Datos apuntan que en el consentimiento, cuyos requisitos especifica el Reglamento General de Protección de Datos (RGPD), se aplica la Ley de Servicios de la Sociedad de la Información (LSSI), mientras que el tratamiento posterior se sujeta al RGPD.
Las directivas europeas incluyen las obligaciones de las páginas web de incluir ‘banners’ de ‘cookies’ para usuarios europeos con un botón para ‘rechazarlas’ en primera capa, que no aparenten que el consentimiento es la única manera de seguir navegando y que los colores y contrastes no induzcan a consentir.
«En relación a las Administraciones Públicas que ofrecen servicios en internet, en virtud de lo dispuesto en la LSSI, no tienen, en principio, la condición de prestadores de servicios de la sociedad de la información y, consiguientemente, están exentas, ya que las actividades que realizan no son ‘actividad económica’ sino de interés público o general», explica Gerard Espuga, abogado especializado en derecho digital y socio del despacho Beta Legal.
No obstante, señala que si estas «realizan actividad distintas de las propias de la administración pública como, por ejemplo, la venta de entradas para eventos o otro tipo de productos, sí realizarían una actividad económica». «En cualquier caso, el hecho de que a una Administración pública no le sea aplicable la LSSI no significa que tampoco lo sea el RGPD».
La guía de la AEPD titulada «Orientaciones sobre cookies y analítica web en portales de las Administraciones públicas» recuerda que «no todas las herramientas de analítica web tratan datos personales» y que «una herramienta que proporciona información básica anonimizada es más que suficiente para satisfacer las necesidades de la organización» en la mayoría de las ocasiones.
«Cookies» de terceros y sanciones
El uso de «cookies» de terceros que incluyan sus servicios web en la página de una Administración pública también podría constituir una actividad económica si las aplicaciones que ofrecen los susodichos terceros se ejecutan en el propio portal de la Administración pública y si incluyen ‘cookies’ o tecnologías similares para recoger y tratar datos con el fin de obtener un beneficio. Algunos ejemplos de estas herramientas son servicios externos de analítica, servicios de verificación de humanos (‘captchas’), vídeos o mapas.
En caso contrario, si estos servicios de terceros no se encuentran insertados en la web, sino que se accede a ellos mediante enlaces, no puede considerarse que el titular de la página sea prestador de servicios. Si se cumple esta situación, la Administración responsable «debería advertir al usuario, con carácter previo, de que va a acceder a un servicio» externo «con tratamientos
«Cuando las AA.PP. hacen uso de estos servicios de terceros «online», deben verificar si estos hacen uso de tecnologías de seguimiento, como las cookies y, en su caso, adecuar sus portales tanto a los requerimientos de la LSSI como del RGPD y LOPDyGDD, cosa que, por desgracia, brilla por su ausencia», apunta Espuga, que añade que este tipo de controles «conlleva riesgos de seguridad como la interceptación de información de autenticación».
En cuanto a las sanciones, Espuga señala que, «salvo error u omisión, no consta ninguna sanción a una AP por incumplimiento de la LSSI en concreto, en materia de cookies, impuesta por parte de la Agencia Española de Protección de Datos», aunque sí las han habido por por infracción del RGPD o la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, si bien, en virtud de su condición de Administración pública, las sanciones han consistido en un «apercibimiento» sin penalización económica.
Noticias Relacionadas:
