El futuro de la ley de cookies en Europa

El Parlamento Europeo está debatiendo una propuesta de Reglamento destinada a cambiar el enfoque de las obligaciones relacionadas con el uso de cookies en la Unión Europea. 

El próximo 25 de mayo de 2018, con la entrada en vigor del Reglamento General de Protección de Datos^[1], el modelo de la protección de datos personales europeo sufrirá un vuelco tremendo. Con un cambio de concepto y de enfoque en cuanto a las obligaciones de los sujetos, todos los aspectos que de alguna forma se relacionen con la protección de la intimidad de los usuarios deberán adaptarse a los requisitos de la nueva regulación de la unión. Entre todos estos cambios, una de las legislaciones que se deberá modificar es la la Directiva 2002/58/CE^[2] sobre la privacidad y las comunicaciones electrónicas  la cual regula, entre muchos otros aspectos, el uso de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios (las llamadas cookies). 

Pero… ¿qué va a cambiar? ¿Con que objetivo? En este artículo voy a tratar de resolver ambas incógnitas tratando de situar al lector en lo que ha sido el el pasado, el presente y el futuro de las llamadas cookies informáticas. 

1. Las cookies y la cruzada de la privacidad en internet. 

Antes de empezar, quiero hacer una advertencia: en este artículo no voy a explicar cuáles son las obligaciones legales concretas que conlleva el uso de cookies en una página web o en una aplicación. Si  el lector tiene interés en este aspecto concreto, recomiendo leer un post que yo mismo hice en su momento: Las obligaciones legales de las cookies: el artículo 22.2 LSSI^[3]. Por contra, mi principal objetivo con este artículo es, por un lado, que se entienda cuál es el problema que puede conllevar el uso de los dispositivos de almacenamiento y recuperación de información (entre otras, las llamadas ‘cookies’) y, por otro lado, que se entienda el porqué de las distintas normativas creadas. 

Para todo ello, lo primero que debemos hacer es entender qué son las cookies y para qué se utilizan. 

1.1. El término “cookie”

El término cookie tiene su origen^[4] en el procedimiento informático llamado “magic-cookie”, una técnica de programación por el cual dos programas o procesos se pueden intercambiar datos de forma rutinaria entre sí permitiendo a uno de los dos realizar una determinada operación informática. Pero, en el ámbito que aquí nos interesa, el término “cookie” es un sustantivo que hace referencia a aquellos archivos que se descargan en el terminal de un usuario con la finalidad de almacenar datos que luego van a poder ser recuperados y/o actualizados por otro terminal o programa. Quedándonos solo en el mundo web, las “cookies” son paquetes de datos que un navegador web almacena de forma automática en el terminal de un usuario (sea ordenador, móvil o tablet) cuando este visita una determinada página web.

1.2. El origen de las cookies y del problema a la intromisión de la intimidad

El origen de las cookies viene de principios de los noventa, de cuando internet era un “stateless place”, esto es, de cuando los servidores no tenían memoria. En esa época, cuando alguien visitaba una página web esta solo mostraba un contenido estático, puesto que al volver a refrescar la página todo lo que hubiera podido realizar el usuario durante su navegación quedaba borrado y olvidado para siempre. Una forma de proceder que se mostró como un grave problema para expandir determinados modelos de negocio como el del comercio online. Y es que, dado que la página web en la que se estaba comprando no tenía memoria, esta no podía recordar ni quien era el comprador ni lo que quería. Algo que, obviamente, dificultaba enormemente el procedimiento de compra para los compradores y lo convertía en algo incómodo y tedioso. Todo ello cambió cuando dos trabajadores de la ya extinta Netscape Coorporations (la empresa que diseñó el primer navegador web) dieron con la solución al problema.

En 1995, Lou Montulli y David Kristol se dieron cuenta de que la mejor forma de que las páginas web recordaran a sus usuarios era haciendo que estas instalasen un pequeño archivo de texto a cada ordenador que las visitaba de forma que, cuando ese mismo ordenador volviese a acceder, pudieran reconocer el terminal que había accedido. Algo así como hacer que cada página web otorgase un carnet de identidad a cada ordenador que accedía para que esta pudiese recordar quien accedía a la web. Fue así como, aprovechando que hacía poco se había creado el protocolo HTTP, estos dos programadores diseñaron lo que serían las primeras “Persistent Client State HTTP Cookies” o, simplemente, “cookies”.

Con estos archivos informáticos se conseguía poner fin al problema de la falta de memoria en internet, pero también se daba daba inicio a uno de los problemas más graves de internet: la falta de  anonimato. Concretamente, el problema apareció con las llamadas “cookies de terceros”, un tipo de cookie que no se instala para obtener un beneficio de la página web que se visualiza (las llamadas “cookies propias”) sino por otra página distinta que tiene ubicado allí algún servicio (un banner publicitario, por ejemplo) el cual conlleva aparejado el uso de cookies.

Gracias a las cookies de terceros y a sus funcionalidades, las empresas de publicidad podían almacenar información y gustos de los usuarios que visitaban por internet. Una herramienta que rápidamente se trasformó en un sueño por parte de las empresas de publicidad online ya que con ella podían recordar los gustos y consumidores de los usuarios (por ejemplo, recordar por qué páginas web habían pasado y cuánto tiempo habían estado en ellas) para mostrarles así publicidad personalizada (behavioral advertising) cuando estos navegasen por la red.

El ejemplo paradigmático de todo ello fue de la empresa DoubleClick (hoy en día propiedad de Google) que disponía de banners de publicidad en infinidad de páginas web lo que les permitían trazar los hábitos de navegación de millones de usuarios llegando a conocer de una forma muy específica cuál era el perfil personal de la persona que utilizaba ese terminal. Una información que le permitía no solo mostrar anuncios sino también vender esta información a terceros. Y todo ello, ¡con total y profundo desconocimiento del usuario!

1.3. La solución interna al problema

Debido al potencial problema que derivaba de las cookies de terceros, la Internet Engineering Task Force (IETF)^[5], la gran comunidad internacional de internet encargada de mejorar la arquitectura de la red y crear estándares técnicos sobre su uso, decidió tomar cartas en el asunto y reflexionar sobre qué soluciones se podían dar para limitar los perjuicios de las cookies de terceros. En concreto, su solución pasaba por imponer a los navegadores web el deber de deshabilitar la instalación de cookies para que fueran los propios usuarios quienes eligiesen qué cookies deseaban instalar. Así, en el documento de estandarización RFC 2965^[6] del año 2000, se añadieron toda una serie de consideraciones con respecto a la privacidad en el uso de cookies siendo una de ellas la denegación de la instalación predeterminada de cookies.

No obstante, la recomendación de la IETF, pese a tener una importante consideración dentro de la comunidad, no logró convencer a dos de los grandes actores dentro del internet del momento: las empresas de publicidad y las empresas propietarias de los dos grandes navegadores (Netscape i Microsoft).

2. El marco normativo actual y sus problemas prácticos

2.1. La normativa europea

Viendo la impotencia de la IETF y la incapacidad del sector de regularse por si solo, muchos estados se interesaron por la regulación del asunto. Uno de ellos (aunque más bien fuese un supraestado) fue la Unión Europea.

A principios del año 2000 y tras cinco años de la promulgación de la Directiva 95/46/CE  relativa   al  tratamiento  de datos personales y a la libre circulación de estos datos^[7] que había supuesto el primer acercamiento en cuanto a la forma en la que se debían proteger los datos personales entre los países de la Unión, se optó por crear una lex specialis para regular la intimidad en el sector de las comunicaciones electrónicas. Fue así como se aprobó la Directiva 2002/58/CE^[8], con el objetivo de regular, entre otros aspectos, las cookies para hacer que estas pudieran servir como un elemento de uso legítimo y acorde a la privacidad para expandir el comercio electrónico.

La solución que proponía esta directiva era muy similar a la que ya se venía aplicando en otras áreas: dotar de información a los usuarios para que fueran estos quienes decidan si aceptaban ésta intromisión a su intimidad que podían conllevan las cookies. Así pues, la Directiva se centró en regular el contenido y la calidad de la información que debía otorgarse a los usuarios y a especificar de qué forma debían dar su consentimiento para permitir la instalación de los dispositivos tipo cookie.

2.2. La normativa española

La Directiva 2002/58/CE terminó siendo traspuesta vía Real Decreto-Ley 13/2012 de 30 de marzo^[9] el cual modificaba la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico^[10] (LSSI). para introducir el ya famoso artículo 22.2 LSSI que conllevaba el deber de informar y de pedir consentimiento para el uso de las cookies.

Destacar que este precepto legal no regulaba específicamente las cookies sino los “dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios”. Una expresión  neutra que era un reflejo de la neutralidad en la red, según la cual no se puede regular una tecnología concreta susceptible de ser modificada en un corto plazo de tiempo.

2.3. Los problemas de aplicación práctica.

Ahora bien, la legislación no supuso en ningún caso una eliminación de los problemas relacionadas con las cookies. Más bien todo lo contrario. Con la promulgación de estos textos legales, empezarón a crearse toda una serie de problemas.

En primer lugar porque se había creado una ley que creaba obligaciones en un ámbito muy desregulado como era internet. Ello provocó un desconcierto no solo a los propietarios de las páginas web sino también a los propios usuarios. Nadie había entendido qué eran las cookies ni cuál era la finalidad de las obligaciones legales impuestas, lo que se tradujo en un incumplimiento masivo por parte de los prestadores de servicios y en una desatención completa por parte de los usuarios.

En segundo lugar porque la normativa europea era muy genérica a la hora de definir la obligación de información y consentimiento, lo que llevó a muchos equívocos en cuanto al cumplimiento efectivo de la ley. Todo ello se matizó gracias a la interpretación de los mismos por parte de agencias de distinto tipo, la más importante la Agencia Española de Protección de Datos^[11] que realizó un documento muy instructivo sobre el tema denominado “Guía para el uso de las cookies”^[12]. Sin embargo, ello solo fueron parches a nivel nacional y nunca se terminó creando un estándar uniforme a nivel europeo.

Y, en tercer lugar, porque aún teniendo instrucciones de cómo cumplir con la normativa, muy pocos cumplían escrupulosamente con la misma. Ello derivó en avisos que pedían permiso para el uso de cookies cuando estas ya estaban instaladas, de cookies técnicas que a la vez camuflaban cookies de terceros o de avisos legales nada claros para el usuario. Casos demasiado masivos como para ser controlados por parte de las autoridades.

Toda una serie de problemas que impedían el objetivo básico de la Directiva europea: concienciar al usuario sobre el uso de cookies para que valorase si deseaba instalarlas o no. Para recuperar este espíritu era necesaria una renovación de la ley, un cambio de enfoque. 

3. La Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas

Tal y como apuntaba al inicio, con la aprobación del Reglamento General de Protección de Datos el marco europeo de protección de datos cambia por completo, y, con ello, todas las normativas que se le derivan. Ello implica que la Directiva 2002/58/CE deba ser reformada y adaptada a las exigencias actuales en cuanto a la privacidad de las comunicaciones electrónicas. Así pues, por medio del procedimiento legislativo ordinario, el Parlamento presentó el pasado 10 de enero de 2017 la Propuesta de reglamento del parlamento europeo y del consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas)^[13].

En la exposición de motivos de la propuesta el legislador habla de la necesidad de una reforma motivada por un fracaso en cuanto a la aplicación de la Directiva tanto por la parte técnica (“imprecisa redacción de determinadas disposiciones y la ambigüedad de los conceptos jurídicos han puesto en peligro la armonización”) como en la práctica (“algunas disposiciones han impuesto una carga innecesaria a empresas y consumidores”).  En el caso concreto de las cookies, lo que proponía la regulación era un cambio en cuanto a los sujetos que asumían las obligaciones para hacer que, ahora sí,  sean los navegadores de internet quienes asuman el peso de la obtención del consentimiento y del control de la privacidad en internet.

La idea de la propuesta es muy simple: si los navegadores web son los que permiten que las cookies se instalen en los terminales, la solución debe pasar por que sean ellos quienes configuren la privacidad y la protección de los usuarios. Con ello lo que se pretende es que no sean las páginas web quienes deban pedir el consentimiento a la hora de utilizar las cookies, sino que este sea centralizado en los navegadores web por medio de la creación de configuraciones por defecto en cuanto a la instalación de cookies. Un enfoque muy acorde con la llamada “privacidad por defecto” prevista en el Reglamento General de Protección de Datos.

4. Mis reacciones a la propuesta

“Más vale tarde que nunca”, supongo que es lo que deben pensar los distintos miembros de la IETF  que propusieron esta misma solución hará ya unos dieciocho años. Ahora bien, la situación actual no es la misma que la de entonces. Los últimos escándalos relacionados con la privacidad en internet ya han forzado obligaciones a los grandes agentes de internet quienes las asumen como método para garantizar su modelo de negocio.

Ahora bien, es conveniente preguntarse cual será el impacto de esta nueva regulación de cookies en los usuarios de internet en Europa. Obviamente, entrar a analizar las obligaciones concretas que se prevén en la propuesta de Reglamento es algo que no tiene mucho sentido pues el propio procedimiento legislativo^[14] lleva aparejado una multitud de modificaciones que pueden modificar del todo la propuesta inicial. No obstante, sí que se puede entrar a valorar la utilidad del enfoque legislativo que se está proponiendo (suponiendo que el mismo se mantendrá de aquí a la aprobación del texto), y valorar si realmente bueno que los navegadores asuman obligaciones con respecto a la instalación y uso de cookies.

La idea inicial es que sí. Si centralizamos el cumplimiento de la ley en unos pocos agentes no solo se facilitará su cumplimiento (uno de los problemas actuales) sino que se facilitará la vida a usuarios y prestadores de servicios. Ahora bien, si vamos un paso más allá sí que podemos vislumbrar una serie de problemas en esta solución.

Puede suceder que estos navegadores creen sistemas que les autobeneficien, permitiendo unas configuraciones de privacidad perjudiciales para su competencia. También puede suceder que se ofrezca al usuario unos modelos de protección restrictivos que impidan la instalación de cookies que les son beneficiosas e útiles, buscando precisamente que obtén por modelos de protección más genéricos. O, como no, pueden provocarse una serie de efectos colaterales desfavorables que alteren el actual ecosistema de internet impidiendo métodos de financiación gratuitos derivados de la publicidad.

Por ello es necesario estar atentos al texto legal que se apruebe. Este no solo provocará cambios en cuanto a la privacidad en internet sino que también puede afectar gravemente a muchos modelos de negocio existentes actualmente.

Fuente: El Derecho