El pasado 7 de junio, el Grupo del Artículo 29 (WP29, para los amigos) ha publicado la Opinión 4/2012, sobre los casos en los que no es necesario obtener un consentimiento específico para la instalación de cookies, en el ordenador/navegador del usuario. Adjunto el texto en inglés aquí (Opinion 04/2012), para quien tenga curiosidad.
En estas páginas, ya he tenido ocasión, con alternas fortunas, de analizar esto de las cookies y la implicación legal de la implantación de lo previsto en la Directiva 2009/136/CE.(unos ejemplos aquí). Pero, como es un tema que me interesa mucho, me permito traducir/resumir/interpretar la publicación del WP29.
¿Qué dice la última aportación de estos expertos sobre el mundo de las cookies?
Pues, que quien tenga una Web (como menda) no está llamado a obtener un consentimiento informado al usuario, si se dan uno de los dos casos previstos en el art. 5.3 de la mencionada Directiva. Esto es:
Exención A: cuando la cookie es utilizada para el único fin («sole purpose«, en inglés) de llevar a cabo la transmisión de la comunicación a través de una red de telecomunicaciones.
O, en alternativa,
Exención B: cuando la cookie sea estrictamente necesaria (los términos más importantes de la excepción, en mi opinión) para que el proveedor del servicio de la sociedad de la información proporcione al usuario (o suscritor) un servicio expresamente requerido por este último.
Veamos las exenciones un poco más en detalle, empezando por la primera.
Si no es necesario el consentimiento cuando las cookies se usan exclusivamente para realizar la transmisión, eso quiere decir que esta excepción no se aplicará cuando estos pequeños y delatores ficheros se utilizan para mejorar y hacer más rápida la comunicación. La mejora de la comunicación, así como el aumento de su velocidad de transmisión no parecen ser (a juicio del WP29) unos elementos estrictamente necesario para realizar la transmisión. Tengo mis dudas sobre estas (y otras también) conclusiones, pero éste no es el momento de exponerlas.
La Exención B es un poco más compleja, porque se tienen que dar condiciones al mismo tiempo, es decir:
- El servicio de la sociedad de la información debe ser expresamente requerido por el usuario. Dicho de otra forma, el usuario debe realizar una acción positiva que demuestre su voluntad de requerir el servicio.
- En estos casos, la cookie debe ser estrictamente necesaria para permitir proporcionar el servicio, de tal manera que, si la cookie no estuviera habilitada, el servicio no se podría proporcionar.