Continuando con mi análisis de la Opinión 4/2012 del Grupo del Artículo 29 (WP29), toca ahora ver los posibles escenarios del uso de cookies, y el caso en los que son de aplicación (o no), las exenciones para recabar el consentimiento de los usuarios.

  • User-imput cookies

Se trata de las típicas cookies de sesión que, normalmente, caducan cuando la sesión (con identificación del usuario) termina. Para estas cookies, parece aplicarse sin problema la Exención B (es decir, la cookie es estritamente necesaria para proporcionar el servicio requerido expresamente por el usuario).

  • Authentication cookies

Se trata, en este caso, de las cookies que registran los datos de los usuarios que hacen log-in. ¿Qué diferencia hay con las anteriores? Es que estas últimas sólo tienen como finalidad la de realizar las tareas en su área privada (como cuando entras en tu cuenta de la banca on-line), por lo tanto, si el propietario de la Web quiere analizar qué hace un usuario (servicios más usados, menos usados, etc.), debe pedir otro consentimiento específico, no aplicándose la Exención B, mencionada en la Opinión. También este asunto será objeto de crítica en otro post.

  • User centric security cookies

Se trata de las cookies que se utilizan para detectar accesos no autorizados (forzando la contraseña, por ejemplo). Para estos casos, se aplica la Exención B.

  • Multimedia player session cookies

Esto es de traca, así que traduzco literalmente (siempre a mi manera) este apartado de la pág. 7 de la Opinión 4/2012: «Cuando un usuario visita una Web que contiene textos y vídeos relacionados, ambos contenidos son parte del servicio requerido expresamente por el usuario. El display de la funcionalidad del vídeo casa, por lo tanto, con la Exención B«. Vamos a ver: si sólo hay texto, su lectura no es un servicio requerido por el usuario (¿y qué será, entonces?); pero si hay un vídeo incrustado, relacionado con el texto (a ver quién dice cuándo un vídeo tiene relación con el texto…), entonces, no será necesario el consentimiento expreso del interesado y se aplicará la Exención B. O me he equivocado yo con mi pésimo inglés, o no entiendo esta diferencia de trato entre las imágenes y el texto.

  • Load balancing session cookies

Son aquellas cookies que se usan, en los casos de mucho tráfico, para dirigir a los usuarios a servidores disponibles para proporcionar información a los usuarios. Estas cookies, evidentemente, entran bajo el paraguas de la Exención A (cookie utilizada para el único fin de permitir la comunicación).

  • User interface customization cookies

Son aquellas cookies que almacenan las preferencias de los usuarios que entran en una Web, para no volver a repetir las mismas preguntas. Pongamos el caso de la Web de la cerveza española Mahou: cuando entras, para estar seguros que la empresa proporciona su servicio on-line de información sobre una bebida alcohólica sólo a mayores de edad, te pregunta si eres mayor (de edad). Al hacer click, se instalará una cookie que recordará a la Web, cuando vuelva a visitarla, que no se preocupe, porque ya soy mayorcito.

El WP29 dice que estas cookies quedarán bajo la Exención B sólo si se trata de cookies de sesión o cookies de corta duración. Y aquí viene otra pregunta para los Señores de la WP29: ¿estaban bebidos (cerveza, ¿quizás?) cuando redactaron esto? Si soy mayor de edad hoy, le puedo asegurar que lo seré mañana, pasado y, por lo menos, hasta que no consiga una máquina del tiempo (por cierto, creo que incluso en este caso, seguiré siendo mayor). Por lo tanto, la cookie que recuerda a los cerveceros en cuestión que soy mayor de edad, deberá ser permanente y estará enmarcada en la Exención B.

  • Social plug-in content sharing cookies

Son aquellas cookies que permiten a los usuarios registrados en alguna red social de compartir contenidos, a través de botones «me gusta» o similares. Como quiera que para darle a estos botones el usuario debe estar registrado, se aplicará la Exención B.