Cambios recientes en la visión de la privacidad en Internet

Cookies internet

En 2016 se publicó el Reglamento (679/2016) General de Protección de Datos (RGPD), que entró en vigor en mayo de 2018 y que vino a sustituir a la LOPD española que databa de 1999 (15/1999).

El 10 de enero de 2017 la Comisión Europea propuso un reglamento sobre privacidad y comunicaciones electrónicas que viniera a sustituir la Directiva al respecto de 2002 (Directiva 2002/58/EC) y que sirviera para ajustar las comunicaciones electrónicas al RGPD. Esta directiva del año 2002 (actualizada por última vez en 2009) en España supuso la promulgación de la Ley de Servicios de la Sociedad de la Información (LSSI) en el mismo año. La propuesta se conoce como nueva ley de cookies o ley de e-Privacy.

Aunque estamos en 2020, aún no ha sido aprobada esta propuesta, seguramente debido a la falta de consenso entre los diferentes países de la UE, pues se trata de consensuar una forma única de actuar para las empresas en Internet que no dependa de cada Estado Miembro.

Destacamos a continuación dos aspectos importantes que cambian las reglas del juego y afectan directamente al uso de cookies.

Al tratarse de buscar la adaptación al RGPD, la propuesta fija la privacidad por diseño y por defecto como prioridades.

Desde este punto de vista, la propuesta afectaría, no sólo a la navegación por Internet por medio de navegadores en páginas web de empresas europeas, sino también a aplicaciones que dependen también de la navegación online, tales como WhatsApp, Skype y un largo etcétera, al objeto de proteger la confidencialidad de las comunicaciones. En este sentido, también incluiría la encriptación de extremo a extremo en las comunicaciones y la prohibición de la posibilidad de interceptación de las mismas por medio de la instalación de puertas traseras y otras técnicas en las aplicaciones.

En definitiva, se trata de un cambio en las reglas del juego que va más allá de las páginas web y la navegación por Internet, y afecta en su conjunto a la tecnología de transferencia de datos. Así también propone que los navegadores, donde se almacenan las cookies, apliquen la privacidad por diseño y defecto y el usuario tenga la potestad de permitirlas o no en la instalación inicial del navegador.

Las páginas web no podrán restringir la visualización de contenidos en caso de no dar consentimiento a las cookies, y se impone el opt-in obligatorio, en consonancia con lo estipulado en el RGPD, al tiempo que se busca simplificar el consentimiento en los casos de cookies que no toman información personal.

El pasado 1 de octubre de 2019, el Tribunal de Justicia de la Unión Europea dictó una sentencia que no distingue entre que las cookies afecten a datos personales o no, si no que advierte sobre la injerencia en la esfera privada que supone la instalación de cualquier archivo en el navegador de una persona sin recabar su consentimiento expreso.

A la fecha de este artículo, algunos de los fabricantes de navegadores (Microsoft, Mozilla, Apple y Google) se han adelantado a los legisladores con iniciativas de restricción de identificación del usuario para las cookies de terceros.

En definitiva, parece que vamos a un mundo sin cookies y en el que el legislador, en contra de los principios que rigen el RGPD de gestión proactiva de la privacidad, se deja llevar por los acontecimientos y parece que será el último en reaccionar una vez que la sociedad y los grandes actores privados tomen la iniciativa en protección proactiva, por diseño y por defecto, de los ciudadanos en sus comunicaciones online.

En este sentido, la AEPD, a finales del pasado octubre de 2019, emitió una guía de cookies basada en la ley de 2002, y seguimos navegando entre pop-ups que sólo informan de que existen cookies y dando la opción, en segunda capa, de informarnos sobre las mismas, en lugar de que, como sería deseable y han comenzado a entender los fabricantes de navegadores, se dé el escenario contrario; es decir, no puedan instalarse tipo alguno de cookie o archivo en nuestro ordenador sin nuestro consentimiento expreso.

 

Luis Fernández de Heredia, DPD y Director IT

Protección de Datos, UHY Fay & Co. Madrid

Servicios de protección de datos

Servicios de protección de datos