Ayer por la noche en el programa de televisión "Salvados" de la Sexta, bajo el título "Nos Espían", se mostraron muchas cuestiones relacionadas con el tratamiento de información por ordenadores. Seguramente demasiadas cuestiones y con algo de falta de contexto y análisis de cada una de ellas.
Entre los informáticos que seguían por Twitter el programa, produjo bastante sorpresa la afirmación del Director de la Agencia de Protección de Datos de que las cookies eran "pequeños programitas".
Evidentemente las cookies no pueden considerarse un programa informático, ni pequeño ni grande, pues son simplemente un archivo que se se escribe en el ordenador del usuario cuando visita una página web. No hay código en el archivo, ni se ejecuta, ni realiza nada más que el mero almacenamiento de la información que en él se escribe.
Pero la razón de referirse a las cookies en estos términos, es estrictamente jurídica y deriva de la necesidad de suplir por la vía interpretativa la errónea redacción de la Directiva 95/46/CE respecto de su ámbito de aplicación. El ámbito de aplicación es lo que determina a quien y en qué circunstancias se aplica la ley. Por lo tanto, quedar fuera implica no tener que cumplir sus previsiones.
Pues bien, tanto la Directiva citada como la LOPD establecen que son aplicables, entre otros supuestos, cuando:
c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.
Los tratamientos de datos por empresas europeas no plantean problemas, el problema es si esto vincula a las empresas de fuera de la UE, sobre todo estadounidenses que operan y tratan datos de europeos por internet.
Había que buscar una fórmula que, sin cambiar la Directiva, hiciese que las empresas que tratan datos de ciudadanos europeos cumpliesen con la legislación europea. Y en ese contexto se considera que las cookies son "medios automatizados" situados en el territorio europeo.
Esto ya se definió en el Documento de Trabajo del Grupo del Artículo 29 sobre la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios web establecidos fuera de la UE (pdf):
[Bonus Track] Sabía que: la obligación de informar sobre "cookies" se es tan vieja como la Directiva y que ya se señalaba en una recomendación del GT29 de 1999 (pdf)?
Había que buscar una fórmula que, sin cambiar la Directiva, hiciese que las empresas que tratan datos de ciudadanos europeos cumpliesen con la legislación europea. Y en ese contexto se considera que las cookies son "medios automatizados" situados en el territorio europeo.
Esto ya se definió en el Documento de Trabajo del Grupo del Artículo 29 sobre la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios web establecidos fuera de la UE (pdf):
"Tal como se ha explicado anteriormente, el PC del usuario puede considerarse un «medio» con arreglo a la letra c) del apartado 1 del artículo 4 de la Directiva 95/46/CE. Está ubicado en el territorio de un Estado miembro. El responsable decidió utilizarlo para el tratamiento de datos personales y, tal como se explica en los apartados anteriores, tienen lugar varias operaciones técnicas sin un control por parte del interesado. El responsable del tratamiento emplea los medios del usuario y no lo hace solamente con fines de tránsito en el territorio de la Comunidad.Esa es la razón, jurídica, por la que se viene considerando, en particular la Agencia Española de Protección de Datos, a las cookies como dispositivos y que se puede ver en varios informes y resoluciones:
El Grupo de Trabajo opina por lo tanto que las condiciones en que pueden recogerse datos personales del usuario mediante la colocación de cookies en su disco duro son reguladas por el Derecho nacional del Estado miembro donde se sitúa este ordenador personal."
"Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales (cookies), informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito." (Guía para la lucha contra el Spam (pdf))
"Al mismo tiempo, debe tenerse presente que la utilización de las cookies, en la medida en que supone la descarga de un archivo o dispositivo en el equipo terminal de un usuario con la finalidad de almacenar y recuperar datos que se encuentran en el citado equipo, tiene implicaciones importantes en relación con su privacidad." (Guía sobre el uso de las cookies (pdf))Por esta razón es por lo que se tiende a "hiperbolizar" las capacidades de las cookies y acabar convirtiéndolas, incluso, en "pequeños programitas". Pero como he explicado, nada es casual o involuntario.
[Bonus Track] Sabía que: la obligación de informar sobre "cookies" se es tan vieja como la Directiva y que ya se señalaba en una recomendación del GT29 de 1999 (pdf)?
No hay comentarios:
Publicar un comentario