Las cookies de la web, la directiva de privacidad de la Unión Europea y las infracciones
La ePrivacy Directive, conocida informalmente como Directiva de Cookies de la Unión Europea o Ley de Cookies de la UE es una directiva de privacidad de datos que ampara a todos los miembros de la Unión Europea y fue adoptada en 2011. La Ley de Cookies otorga a los miembros de la UE el derecho a rechazar el empleo de cookies cuando utilizan sitios web en línea, ya que dichas cookies pueden afectar y reducir la privacidad en línea del usuario. Prácticamente todos los sitios web utilizan cookies (pequeños archivos de datos) para almacenar información pertinente en el navegador web de un usuario en línea. Por ello, la Ley de Cookies fue aprobada para concientizar a los consumidores de la UE sobre cómo se recoge y utiliza su información personal relacionada con las cookies en línea, así como para otorgar la oportunidad a dichos usuarios de permitir o no el uso de cookies.
¿Qué son las cookies de un sitio web?
Las cookies son una forma de memoria a corto plazo en la web y se almacenan en el navegador de un usuario en línea para permitir que un sitio web concreto recuerde pequeñas piezas de información relativas a las páginas visitadas por dicho usuario. Las cookies se utilizan ampliamente para personalizar la experiencia de los usuarios cuando estos utilizan la web. Los datos guardados permiten a los consumidores experimentar un mayor nivel de comodidad. Por ejemplo, las cookies pueden utilizarse para guardar la información de inicio de sesión en un sitio web concreto, de modo que el usuario no tenga que introducir dicha información cada vez que se conecte.
Sin embargo, las cookies que se recogen en línea también pueden utilizarse para crear el “perfil de comportamiento” de un usuario. Dicho perfil puede servir para determinar a qué contenidos o anuncios exponer a un usuario cuando navega por la web. La Ley de Cookies se creó para resaltar el uso de cookies en línea con marcados fines de publicidad y mercadotecnia. Al exigir a los sitios web que primero informen sobre las cookies y obtengan el consentimiento de los visitantes para su uso, la ley pretende dar a los miembros de la UE más control sobre su privacidad en línea.
¿Cómo los sitios web que interactúan con los consumidores de la UE cumplen con la Ley de Cookies?
Cuando recogen cookies relativas a los usuarios en línea, la Ley de Cookies exige a los propietarios de sitios web que ejecuten las siguientes cuatro acciones:
- Los propietarios de sitios web están obligados a informar del uso de cookies a los usuarios que visitan su página web.
- Los propietarios de sitios web están obligados a proporcionar a los usuarios información detallada sobre cómo se utilizarán los datos que sobre ellos son recolectados.
- Los propietarios de sitios web están obligados a proporcionar a los usuarios algún medio para aceptar o rechazar las cookies cuando utilicen su página web.
- Si los usuarios rechazan el uso de cookies al visitar un determinado sitio web, los propietarios de dicho sitio deben asegurarse de que no se coloquen cookies en los dispositivos de los usuarios antes mencionados.
Sin embargo, algunas cookies no requieren el consentimiento de los usuarios de los sitios web. Dado que determinadas cookies son indispensables para el funcionamiento de un sitio web, la Ley de Cookies hace excepciones en relación con las cookies que se consideran “estrictamente necesarias” para cumplir con los servicios requeridos por los usuarios y visitantes de un determinado sitio web. Por ejemplo, la Ley de Cookies permite el uso de cookies por vendedores en línea con el fin de garantizar una experiencia de compra cómoda y ágil para los usuarios.
Otro ejemplo de cookies consideradas imprescindibles para el uso de un sitio web son las que permiten que los usuarios que visitan tiendas en línea puedan acumular una serie de productos en la cesta de la compra con el fin de pagar por ellos al unísono. Además, se consideran “estrictamente necesarias” las cookies que proporcionan prestaciones de seguridad a sitios web de los que se espera un alto nivel de confiabilidad, como los dedicados a la banca en línea y la compraventa de acciones.
A la hora de determinar si las cookies de un sitio web se consideran “estrictamente necesarias”, la Ley de Cookies esboza la siguiente definición: una cookie “no impedirá el almacenamiento o acceso técnico con el único fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida en que sea estrictamente necesario para que el prestador de un servicio explícitamente solicitado por el abonado o usuario pueda prestar el servicio”. Además, la Ley de Cookies no se aplica únicamente a las cookies en línea, sino que abarca todas las formas y medios en que un sitio web puede almacenar los datos personales y la información de los consumidores de la Unión Europea.
Como hay muchos métodos, además de las cookies, que pueden utilizarse para enviar archivos al ordenador, teléfono móvil o tableta de un usuario, la Ley de Cookies evita nombrar explícitamente cualquier tipo de tecnología. Por ejemplo, herramientas en línea como Flash y HTML5 Local Storage también pueden utilizarse para almacenar la información de un usuario de una página web. Por lo tanto, la Ley de Cookies se redactó de manera que incluyera todos los métodos que pueden utilizarse para recopilar la información de un usuario de un sitio web, incluidos los métodos o tecnologías que aún no se han creado.
¿Cuáles son las sanciones por infringir la Ley de Cookies?
Dado que la Ley de Cookies de la UE es una directiva legal y no un estatuto legislativo o ley, no establece ninguna sanción específica en relación con las infracciones. En su lugar, la Ley de Cookies requiere que los gobiernos locales dentro de la jurisdicción de la UE establezcan sus propias leyes y sanciones por incumplimiento. Por lo tanto, las sanciones por incumplimiento de la Ley de Cookies varían dependiendo de cada lugar. A pesar de esto, los reguladores locales normalmente se adhieren a los siguientes niveles de acción escalada:
- solicitud de información – Antes de que una autoridad reguladora local de la UE comience a solicitar cambios, esta puede pedir al propietario de un sitio web que le proporcione información adicional. Dicha información puede incluir detalles específicos sobre los tipos de cookies que utiliza un sitio, enlaces a la información sobre cookies del mismo, así como cualquier otra información pertinente que pueda utilizarse para determinar si dicho sitio web cumple con lo establecido por la ley.
- solicitud de cambios – Un regulador local de la UE, después de determinar que un sitio web en particular ha infringido la Ley de Cookies, puede solicitar al propietario de dicho sitio web que realice cambios con el fin de cumplir con lo regulado. Esto se considera una advertencia amistosa.
- aplicación – Cuando el propietario de un sitio web no responda adecuadamente a las solicitudes de información y cambios, la autoridad reguladora local de la UE le entregará una lista de medidas específicas que debe tomar para hacer que dicho sitio web cumpla con la ley en un plazo determinado.
- multas – Si el propietario de un sitio web no ha cumplido con lo establecido en los tres pasos anteriores, la autoridad reguladora local puede imponerle sanciones monetarias. Una vez más, estas multas dependerán de lo dispuesto por los gobiernos locales. Un ejemplo de tales sanciones son las multas de 120 y 42 millones de euros que la agencia de protección de datos de Francia (CNIL) impuso a Google y Amazon, respectivamente, por infracciones de la Ley de Cookies en el 2020.
De acuerdo con el Reglamento General de Protección de Datos (GDPR), la Ley de Cookies se aprobó para proteger la privacidad de los consumidores que viven en la Unión Europea. Dado que las cookies pueden utilizarse para recopilar información personal relacionada con los usuarios en línea, legislaciones como la Ley de Cookies de la UE son cada vez más necesarias en todo el mundo. Además, como existen tantos medios y métodos con los que los sitios web pueden recoger y almacenar información personal relacionada con los usuarios en línea, es importante que futuras leyes hagan referencia a métodos y enfoques para la recogida de datos que puedan inventarse en el futuro, tal y como lo ha hecho la Ley de Cookies de la UE.
