Sin rastro de la «directiva anti-cookies» un año después

En aras de una navegación más segura se produjo la modificación del artículo 22.2 de la Ley de Servicios de la Sociedad de la Información, relativo al consentimiento para la instalación de «cookies» en los terminales de los usuarios, cuya aplicación, justo un año después, ha sido tibia en la industria. La nueva normativa conlleva nuevas obligaciones para aquellos que utilizan estas tecnologías, pero la ausencia de una exhaustiva guía que marque las pautas sobre el uso de datos personales de los usuarios a nivel local ha provocado que su implantación brille por su ausencia.

En el caso concreto de España, nuestra normativa establece que hay que solicitar el consentimiento expreso al usuario para usar «cookies» de este tipo. Y, además, tiene que posibilitarse y facilitarse que un usuario rechace el uso de « cookies», incluso las que se emplean para el estudio estadístico del comportamiento del usuario en la web.

Para corregir y allanar el camino, la Agencia Española de Protección de Datos (AEPD) ultima un documento con «orientaciones abiertas y flexibles» que verá la luz en los próximos meses y que servirá para que los proveedores de páginas web pueda aplicar la normativa. «No es un documento que vaya a ofrecer una única fórmula para todo el mundo, sino orientaciones para cómo cumplir y adaptarla a su negocio», explican fuentes del organismo regulador.

La AEPD barajan un abanico de posibilidades que sean adaptables a los diferentes tipos de negocio. Las líneas básicas del documento recoge aspectos esenciales sobre en qué consisten las «cookies», cuál es su finalidad, si son propias o si también las utilizan terceros y una presentación sencilla para advertir «con alguna forma que entiendan los usuarios» que una conducta activa por su parte puede dar el consentimiento a la empresa. La ley es clara en ese sentido: el usuario debería estar informado en todo momento y no se permite instalar una «cookie» si no se ha recabado el consentimiento del usuario.

Desde IAB Spain, asociación que representa al sector de la publicidad, el marketing y la comunicación digital en España, abogan por un consentimiento informado y tácito. «Apostamos porque el usuario reciba toda la información y pueda tomar una decisión, porque un consentimiento expreso acabaría con la industria digital 'online' tal y como la conocemos», explica a este diario Paula Ortiz, directora jurídica. «Proponemos que cuando un usuario llega a una web se muestre en la página de aterrizaje, -landing page- una información donde se informa que si sigues la navegación se instalaría una 'cookie'», manifiesta.

«Ha pasado un año de la modificación de la norma, en octubre dimos una propuesta a la AEPD, y la agencia todavía no ha enviado a la industria una clasificación. La industria todavía está esperando a saber cómo tiene que hacerlo. Todavía no han podido informar sobre las cookies», añade Ortiz. A nivel general, la aplicación de la norma ha tenido en la pequeña y mediana empresa (pyme) una menor acogida. «La gran empresa se va cumpliendo rigurosamente, pero tendiendo en cuenta en parque empresarial, principalmente, de pymes, su cumplimiento es bastante banal. «No se está aplicando a nivel general», replica Félix de Molina, responsable de consultoría de seguridad de VASS, quien critica que el tema de las «cookies» y el impacto de la Ley de Protección de Datos «no está suficientemente divulgado por los organismos estatales».

Al margen de su aspecto técnico, las principales funciones de las «cookies» es almacenar los datos personales de los usuarios y conseguir sus hábitos de navegación, una oportunidad de la que se ha aprovechado la industria para ofrecer publicidad segmentada. La industria ha pedido en reiteradas ocasiones la aclaración de cómo se va a mostrar esa información en los diferentes tipos de terminales y formatos de pantalla ya sean PC y diferentes dispositivos móviles.

La aplicación ha sido de lo más desigual en los distintos países. Sin embargo, la realidad es que, después de un año, la mayoría de las webs no cumplen con lo que dice la ley. «Llevamos un año de aplicación de la norma y la Agencia de Protección de Datos si no fuerza a las empresas a cumplir, no cumplen», matiza María Gómez, directora de Mind Your Privacy. Sin embargo, su aplicación en Europa ha sido desigual. En Reino Unido, por ejemplo, se ha dictado que el consentimiento debe ser tácito y no expreso. Un caso más restrictivo ha sido Holanda, país muy protector de la privacidad, que se ha mostrado contrario a un consentimiento tácito.

«Lo curioso aquí es que si vamos a cualquier tienda física y quieren poder enviarnos publicidad necesitan nuestro permiso, ¿por qué iba a ser distinto en el mundo «online»? Precisamente esto es lo que pretende la conocida como ley anti-cookies: no que no se usen las 'cookies' sino que el usuario dé su permiso, su consentimiento», añade.