Si el aceptar las cookies de forma automática, sin una manifestación clara de la voluntad de quien navega, es una modalidad poco acorde con los principios de respeto de la privacidad analizados por el Grupo de Trabajo del Artículo 29, tener cookies que no se puedan borrar ya es temerario. ¿O no?

El papel de las Cookies Flash es exactamente éste: el de no ser borradas por los sistemas tradicionales de configuración de la privacidad de los navegadores. Así que, a parte de las cookies tradicionales, tenemos también a las persistentes. Y, con casi total seguridad, sin saberlo.

Ahora que sabemos quiénes son los actores de la Online behaviuoral advertising y las herramientas utilizadas, queda por ver, según el esquema de la Opinion 2/2010, el marco legal, en el ámbito europeo, de este tipo de publicidad. Para empezar, hay que tener en cuenta la Directiva 2002/58, parcialmente modificada por la Directiva 2009/22/EC, y lógicamente la Directiva 95/46/EC, sobre protección de datos. Hay que aclarar que la Directiva 2002/58 se aplica independientemente de la información contenida en la cookie; si además, la cookie almacena información de carácter personal, entonces será de aplicación también la Directiva sobre Protección de Datos y la correspondiente legislación nacional. En todo caso, el Grupo de Trabajo del Artículo 29 deja bien claro que, por el mero hecho de recabar información sobre la IP, ya estamos en presencia de un tratamiento de datos personales. Esta interpretación sobre la naturaleza de la IP ha sido además confirmada por la Agencia Española de Protección de Datos, ya desde su Informe 327/2003.

Entonces, cuando navegamos y tenemos la correcta configuración de nuestro navegador para que nos pregunte siempre si queremos aceptar cookies al acceder a una Web, cuando lleguemos por primera vez a una nueva URL nuestro navegador nos deberá preguntar:

  • ¿Quiere Usted que se instalen cookies en su ordenador? o ¿Quiere Usted que accedamos a las cookies que ya están instaladas en su ordenador?

Pero ésta no será la única pregunta que, en el respeto del art. 5(3) de la Directiva 2002/58, deberán proponernos. Además, para que el consentimiento prestado a la instalación de una cookie (o el acceso a la lectura de las que ya estén instaladas) tenga valor legal, deberán informarnos también sobre:

  • De quién es la cookie;
  • Con qué finalidad se utilizará;
  • A quién se comunicarán los datos analizados. Además, si los datos se utilizarán para la denominada Online behavioural advertising, también necesitaremos conocer los datos de la empresa que haga el papel de APN.

El consentimiento tiene que ser previo (posiblemente, antes de que visualicemos la misma URL que queremos visitar), informado (así que nos aparecerá un enorme cuadro de texto con todos los detalles) y libre (¿libre de decir «no» y así no acceder a la Web?).

Además, si la Web a la que queremos acceder tiene como temática la religión, ideología política, actividades sindicales, preferencias sexuales, el consentimiento deberá ser expreso, tal y como se exige en los casos de recopilación de datos personales merecedores de un nivel alto de protección.

Todas estas normas, si bien es cierto que defienden la privacidad de todos los usuarios de la Web, obstaculizan la navegación, y llevarían al usuario a configurar la privacidad de su navegador para que «lo acepte todo» de antemano. Pero esta práctica tampoco cumple con la legislación en materia de protección de datos y es el la misma Opinion 2/2010 el porqué.

Para empezar, el hecho de que un navegador acepte todo tipo de cookies por defecto, no quiere decir que el usuario haya prestado su consentimiento, con las características que se han mencionado en los párrafos anteriores. Así que, el Grupo del Artículo 29 aconseja a los fabricantes de navegadores que elimine la posibilidad de que sus productos lo acepten todo. Es ésta una curiosa forma de decirle a los programadores cómo tienen que realizar su trabajo.

Además, aunque hayamos configurado correctamente el navegador, éste no será inmune de la instalación de las Flash Cookies.

Estamos así frente a una duda que puede afectar a la misma utilización de Internet. O hacemos caso a las recomendaciones del Grupo de Trabajo del Artículo 29 y, a cada paso, tenemos que aceptar (o no) las cookies (con toda la información para que nuestro consentimiento sea válido), con gran beneficio para nuestra privacidad. O, por otro lado, sacrificamos nuestra privacidad en beneficio de una más fácil y ágil navegación.

Entre las recomendaciones finales del documento está el llamamiento a los ANP de trabajar con los desarrolladores de navegadores para que implementen las mejoras de la privacidad en sus sistemas (sin que ello signifique perder accesibilidad a la Web, añado yo).

Como conclusión, comparto la preocupación sobre el uso de las cookies y creo que los navegadores deberán mejorar sensiblemente las opciones de privacidad, con un enfoque cuasi didáctico para los ciudadanos. Sin embargo, creo que el desarrollo técnico de estas medidas de defensa de la privacidad se encontrarán con el rechazo de los gurús de la accesibilidad Web. Como siempre sucede en los casos de privacidad, se tomarán las oportunas medidas sólo después de que hayan sido impuestas las primeras cuantiosas multas por los organismos de control.