El Tribunal de Justicia de la Unión Europea (TJUE) ha establecido en una sentencia que el usuario de una página web tiene que dar su consentimiento expreso para la instalación de de "cookies" en su ordenador, de modo que no vale que un sitio muestre una casilla marcada por defecto sobre la que que el internauta debe pinchar si quiere rechazarlas. [Sentencia íntegra]

"El consentimiento que el usuario de un sitio de Internet debe dar para la colocación de 'cookies' en su equipo terminal y la consulta de éstas no se presta de manera válida mediante una casilla marcada por defecto de la que el usuario debe retirar la marca si no desea dar su consentimiento", señala el TJUE.

"Dicho de otra forma", explica a Público el ingeniero y abogado especializado en tecnología Sergio Carrasco, "lo que se pide es que el usuario pueda seleccional la opción si quiere dar su consentimiento, porque de otro modo ese consentimiento no se puede considerar informado, uno acepta sin enterarse bien del tema".

Según la definición que maneja este tribunal, las 'cookies' son "ficheros que el proveedor de un sitio de Internet coloca en el ordenador de los usuarios de dicho sitio y a los que puede acceder nuevamente cuando éstos vuelven a visitar el sitio con el fin de facilitar la navegación en Internet o las transacciones o de obtener información sobre el comportamiento de dichos usuarios".

Todo sitio web que trabaje con 'cookies' está obligada a informar al usuario de la existencia de las mismas. El resultado es esa ventana emergente que tenemos que clicar para navegar por sitios como este diario. Estos avisos tienen dos 'capas': la primera, que suele aparecer en forma de 'pop up', informa de la existencia de estos pequeños ficheros.

En esa capa, que como recuerda Carrasco "se tiene que explicar bien el uso de los datos proporcionados por las 'cookies'", el usuario puede aceptar su instalación, no aceptarla, o configurar los permisos en una segunda 'capa'.

Imagen: Pixabay (CC0)

Así, en la segunda 'capa' ha de aparecer la información necesaria para poder configurar si aceptamos o no determinadas 'cookies' que usan casi todos los sitios web y que no son consideradas como imprescindibles para el funcionamiento del sitio web (éstas se instalan por defecto para que un sitio web pueda cargar: las de elección del idioma, el carrito de la compra, la contraseña guardada, algunas especificaciones y autorreproducciones de vídeo).

Por tanto, el TJUE refuerza lo que el Reglamento General de Protección de Datos (RGPD) dispone, que el consentimiento debe darse mediante un acto afirmativo claro y considera que el silencio, las casillas ya marcadas o la inacción no debe constituir consentimiento. Algo que ya dijo el pasado año la propia Agencia Española de Protección de Datos (AEPD), como apunta a Público el abogado especializado Jorge Morell.

Este letrado advierte de que las 'cookies' analíticas y las publicitarias no son consideradas imprescindibles para el funcionamiento de los sitios web. "El hecho de tener estadísticas se entiende como un tratamiento extra, no es imprescindible para el funcionamiento de una web", comenta Morell. Por tanto, su instalación debería tener permiso expreso del usuario.

Información sobre la caducidad

La sentencia recuerda, además, que la normativa europea obliga a que la información que el proveedor de servicios facilita al usuario tiene que incluir la posibilidad de que terceros tengan acceso a ellas y el tiempo durante el cual las "cookies" estarán activas, o sea, su caducidad.

La corte europea responde así varias cuestiones prejudiciales planteada por el Tribunal Supremo de lo Civil y Penal de Alemania, que pedía una interpretación el Derecho de la Unión relativo a la protección de la intimidad en un caso sobre la empresa alemana Planet49.

Esta compañía, que desarrolla juegos 'online' con fines promocionales, establecía una casilla marcada por defecto con la que los internautas que deseaban participar en dicho juego pretendidamente expresaban su consentimiento para la colocación de 'cookies'. Éstas recababan información con fines publicitarios para los productos de las empresas colaboradoras de la firma, es decir, para terceros.

Para la asociación European Digital Rights (EDRi) esta sentencia es una buena noticia. Para Diego Naranjo, responsable de política en EDRi, "el fallo lo explica en detalle para la industria y apela a unas reglas claras sobre la confidencialidad de nuestras comunicaciones". Por ello, urge a los estados miembros de la UE a sacar adelante "el muy necesario reglamento de privacidad electrónica del armario del Consejo de la UE" que complementará al RGPD.

No sólo datos personales, es la esfera privada

En otra cuestión prejudicial que responde la sentencia sobre el mismo caso, el TJUE interpreta que el tratamiento de las 'cookies' no depende de que que la información almacenada o consultada en el equipo terminal del usuario de un sitio de Internet incluya o no datos personales.

La explicación que da el TJUE es que el Derecho de la UE persigue proteger al usuario de toda injerencia en su esfera privada, en particular "contra el riesgo de que identificadores ocultos u otros dispositivos similares puedan introducirse en su equipo sin su conocimiento".

La propia sentencia recuerda que "toda información almacenada en el equipo terminal de los usuarios de una red de comunicaciones electrónicas forma parte de la esfera privada de los usuarios". De esta forma, razona, la "protección se aplica a toda información almacenada en dicho equipo, con independencia de si se trata de datos personales o no".

"Esto tampoco es nuevo", concluye Jorge Morell, "otra cosa es que la gente esté haciendo filigranas", bromea, en relación con la aplicación de la normativa de protección de datos: la norma (y así lo entiende el TJUE) afecta pues a todas las 'cookies' no técnicas.