Exención de consentimiento en las cookies

El Grupo de Trabajo del Artículo 29 (Article 29 Working Party) - GT29 -, que engloba a las Autoridades Europeas de Protección de Datos, ha publicado hoy un Comunicado de Prensa para presentar su opinión sobre la exención del consentimiento informado en las «cookies».

El documento (en inglés) "Opinion 04/2012 on Cookie Consent Exemption" está disponible aquí:

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf

El Artículo 5.3 de la Directiva 2002/58/CE, revisado por la Directiva 2009/136/CE (conocida como la "Directiva de «cookies»") establecía el requisito del Consentimiento Informado, antes de que los datos sean tratados en el equipo del usuario.  En España, este apartado se recogíó en la reciente modificación de la LSSI del pasado 30 de marzo.

En virtud de ese artículo, se establecía la exención del consentimiento informado al cumplirse alguno de estos dos criterios:

• Cuando la cookie sea utilizada "al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas".
• Cuando la cookie resulte "estrictamente necesaria para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario".

El Documento publicado por el GT29 analiza con detenimiento estos dos requisitos para determinar si una cookie está exenta o no del consentimiento informado.

Después de un análisis de las características de una cookie y de los diferentes escenarios posibles, concluye que las siguientes cookies pueden estar exentas de la obligación del consentimiento informado, bajo determinadas condiciones y siempre que no sean utilizadas para otros fines.

1. "User input cookies" (cookies de sesión utilizadas típicamente cuando el usuario rellena un formulario), son temporales y se eliminan al finalizar la sesión.
2. Cookies de autenticación, para la autenticación del usuario en un sitio web y únicamente mientras dure la sesión (no cuando se trate de cookies persistentes).
3. Cookies de seguridad, utilizadas para prevenir abusos en la autenticación (por ejemplo, detectar repetidos intentos fallidos de validación), siempre que tengan una duración limitada y no se refiera a servicios no solicitados por el usuario.
4. Cookies de sesión de contenido multimedia, contienen datos técnicos de la sesión para reproducir video o audio (por ejemplo de Flash Player) mientras dure la sesión.
5. Cookies de sesión de balanceo de carga, mientras dure la sesión.
6. Cookies para la personalización del interface - "UI customization cookies" (por ejemplo, selección del idioma), de duración determinada y no pueden estar enlazadas con cookies persistentes como el nombre de usuario.
7. Cookies de plug-in de redes sociales - "Social plug-in content shared cookies" que identifican a los miembros de una determinada red social, siempre y cuando el usuario no haya realizado un "log-out" de la red social.

En todos los casos se trata, como vemos, de cookies de sesión  o con una duración determinada, aunque el GT29 señala que antes de entrar en cuestiones técnicas, debería analizarse la finalidad de la cookie para determinar si queda o no exenta de la obligación del consentimiento informado.  En cualquier caso, siempre será necesario obtener el consentimiento informado cuando se trate de cookies de terceros.

En relación al segundo criterio, el GT29 señala que es importante analizar lo que es "estrictamente necesario" siempre desde el punto de vista del usuario, no del proveedor de servicios.