Como no he sido capaz de publicar un comentario al excelente post de Ruth Benito, pongo aquí mis breves reflexiones sobre el «consentimiento previo» para el uso de las cookies.
Texto del comentario:
«¡Gran post!
Para empezar, «añusgarse» es un gran verbo, prometo usarlo siempre, incluso cuando no venga a cuento.
Lo del «consentimiento previo» merece una reflexión más profunda, para realizar la cual no estoy especialmente preparado, pero intentaré esbozar las líneas (confusas) de mi pensamiento.
Ya que sabemos qué es un consentimiento, el problema está en cuándo se puede considerarlo «previo«.
El consentimiento debe considerarse en función del ámbito/contexto en el cual se presta. De hecho, en algunas ocasiones, éste debe revestir determinadas formas (por escrito, ante notario, ante Dios…).
El ámbito/contexto en el cual funciona un blog (por ejemplo) podría describirse, más o menos, como el siguiente: «Señores, se me ha ocurrido esto: www.linkloquesea.com. Pasen y vean/lean».
Si el lector accede (y no tiene porque hacerlo, nadie le obliga), presta su consentimiento (previo) a que yo, como redactor del post, me comporte como se espera que me comporte (en Internet). Es decir, como redactor del post, quiero saber cuántos me han leído y cómo han llegado a mi post.
Para llevar a cabo mi comportamiento esperado (lo espera, desde luego, cualquier lector de blog que conoce qué es Internet y cómo funciona), instalo «cookies técnicas» y «cookies cualificadas» (por denominarlas de alguna manera). Si usara otro tipo de cookies más invasivas (de esas que reconocen hasta tu ADN), entonces, al no ser un comportamiento esperado, sí que debería pedir consentimiento previo.
Pero, ¿para las otras? Para esas cookies que son «normales» en una relación lector/redactor ¿no es ya «previo» el consentimiento cuando el lector hace click en el link? A parte de remitir al lector a un Aviso Legal donde le explico qué hacer para desactivar las cookies, ¿qué más tengo que hacer? ¿Ponerme de rodillas?
Conclusión
El consentimiento para la instalación de «cookies cualificadas» (esperadas, dentro del tipo de relación mencionada) es «previo» a la visita del lector a mi blog.
Perdón por la parrafada y gracias por las menciones. He podido llegar a 79 lectores y seguro que voy a quedar como un rey en el bar.
Ruth Benito
Hola Amedeo:
Muy interesante tu reflexión. No obstante, en la práctica debemos de tener en cuenta que el consentimiento ha de ser informado (más que informado a secas diría «exahustivamente informado» o, mejor aún, «insufriblemente informado»), lo que añade un plus a la expectativa que podemos tener sobre el conocimiento de los usuarios. Antes que eso, en mi opinión, invalida la aplicación de dicha expectativa en un momento anterior a aquel en el que el usuario podría dar su consentimiento, puesto que no es predicable de todos los usuarios de Internet.
No todos los internautas saben lo que son las cookies o dispositivos similares. ¡Caray!, si a mí me cuesta entender cómo funcionan algunas de ellas. E incluso suponiendo que la mayoría de lectores de blogs sepan que éstos, de algún modo, miden las visitas que tienen, es muy posible que desconozcan la técnica empleada para ello. Y aquí quiero hacer hincapié en la doble vertiente de la que parte la normativa sobre cookies: desde la perspectiva de la protección de datos personales, pero también, y principalmente dado la ley que la recoge, desde a LSSI, y es que en definitiva se están instalando dispositivos en terminales ajenos (aunque sea de forma temporal y ocupen un espacio insignificante).
Tampoco creo que me valiera «a posteriori», como línea de defensa en el caso de que la denuncia viniera por un usuario con alto nivel de conocimiento técnico. ¿Por qué? Porque hablamos del derecho de negativa. No se trata, pues, sólo de que sepa de qué va esto de las cookies, sino de que pueda decidir si quiere o no permitir que le instalen cookies.
Entonces, ¿por qué me parece absurda la ley? Simple y llanamente por ser una ley. Me explico: si se pretende proteger al usuario, no se va a conseguir:
.- Seguirán existiendo millones de sitios webs, no considerados PSSI a efectos de la LSSI, y respecto a los cuales, por lo tanto, no es exigible esta norma. Conclusión: los usuarios, salvo que configuren sus navegadores o instalen bloqueadores, seguirán teniendo sus equipos llenos de cookies de todos los colores.
.- ¿Podemos aplicarla a webs fuera del territorio EU? Y aunque en teoría pudiéramos ¿cómo garantizar su ejecución? ¡Fail! Y doble fail porque además minorará la capacidad de competencia de los PSSI europeos.
.- Probablemente las denuncias, sanciones y reacciones se produzcan en un pequeño porcentaje, y muchísimos PSSI continuarán sin cumplir la ley, con lo que los dispositivos de la inmensa mayoría de usuarios continuarán llenándose de «bichitos», igual que a día de hoy continúan llenándose de spam sus bandejas de entrada de correo electrónico.
¿No sería mejor llevar a cabo acciones de formación, desde las escuelas lo primero, pero no exclusivamente, así como destinar fondos a recursos públicos para la creación de software gratuito que realmente sí proteja al usuario?
Un abrazo y muchas gracias por tu comentario.
Amedeo Maturo
Estoy de acuerdo sobre el asunto del «consentimiento previo» que era, obviamente, una interpretación muy forzada. De hecho, este fin de semana he realizado un micro experimento entre amigos «no tecnólogos» y no tenían ni pajolera idea de qué era una «cookie». Con lo cual, la realidad ha desmentido la teoría, ya de por sí, cogida por los pelos.
En realidad, el anterior post era más bien una queja sobre lo equivocado que está el precepto en cuestión. A parte de las reflexiones que has expuesto tú (acertadas), también está el hecho que, para cumplir con estas dichosas cookies, deberíamos poner un pantallazo en ttodas las Web sujetas a LSSICE, donde se diga: «Para acceder a este sitio, hay que instalar cookies…» Y todo el mundo dándole alegremente al «aceptar» (me apuesto lo que sea).
Entonces, ¿de qué habrá valido el consentimiento previo? ¿de qué habrá valido la información completa?
En realidad, sólo habrá valido para estorbar la navegación e intoxicar de información al usuario (para que no la mire).
Conclusión: un despropósito de norma.