El pasado 05 de mayo de 2020 el Consejo Europeo de Protección de Datos (en adelante “EDPB”) publicó las Directrices 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679 que regula la protección de las personas naturales con respecto al tratamiento de datos personales y a la libre circulación de dichos datos.
La directriz busca dilucidar la validez del consentimiento proporcionado por un interesado al interactuar con las llamadas cookie walls.
En términos simples, cuando hablamos de las cookies en internet nos referimos a cierta información enviada por un sitio web a nuestros ordenadores, que permiten identificar la actividad previa que ese ordenador ha realizado. Cuando un sitio web almacena esa información o data, entonces puede acceder a dicha actividad y conocer ciertos hábitos de navegación.
Este almacenamiento de información por parte de terceros puede provocar graves atentados en contra la privacidad de las personas, por más de que, en estricto rigor, la información que se obtiene corresponde a la de un ordenador. En efecto, toda esta información podría llegar a revelar la identidad de una persona física.
Por otro lado, cuando hablamos de cookie walls o muro de galletas informáticas, nos referimos a aquella situación en que un determinado sitio web bloquea su contenido mediante un mensaje que nos informa que dicho sitio utiliza cookies y debemos aceptar dichas condiciones para poder acceder a dicho contenido. Si no las aceptamos, simplemente no podemos ingresar al sitio web.
En este sentido, las directrices de la EDPB son tajantes en declarar que el consentimiento que se entrega al aceptar una cookie wall no es libre ni genuino, y, en consecuencia, no son legales. No parece razonable condicionar la entrada a un sitio web mediante la imposición de aceptar una cookie wall, y la directriz lo prohíbe.
Algunos dirán que el usuario no está obligado a aceptar las cookies, y, por lo tanto, es libre de no ingresar al sitio web o aplicación móvil. Sin embargo, estas afirmaciones son complejas y traen problemas prácticos. ¿Qué ocurre si se trata de sitios webs a través de los cuales se venden productos o se obtienen servicios de primera necesidad o bien se logra tener acceso a información crucial? ¿Puede concurrir la misma lógica tratándose de sitios webs de órganos el Estado o Servicios Públicos? ¿Estaríamos acaso frente a un acto en donde se expresa un consentimiento libre y espontáneo?
La situación se hace tanto más difícil si consideramos que actualmente atravesamos por una pandemia que nos obliga a obtener información, bienes y servicios a través de Internet y el mundo físico cada vez parece más alejado.
En definitiva, la directriz exige que el consentimiento del usuario debe ser: a) libre, b) específico, c) informado y; d) inequívoco.
La misma directriz entrega una serie ejemplos de cuando no concurre el consentimiento libre. Citamos el siguiente:
Una aplicación móvil para edición de fotos pide a sus usuarios que activen su localización GPS para uso de sus servicios. La aplicación también les dice a sus usuarios que utilizará los datos recopilados para publicidad. Ni la geolocalización ni la publicidad son necesarias para la provisión del servicio de edición de fotos y van más allá de la prestación del servicio principal proporcionado.
Como los usuarios no pueden usar la aplicación sin dar su consentimiento para estos fines, el consentimiento no puede considerarse como libremente dado.
El ejemplo anterior lo podemos utilizar para las diversas Industrias, sitios webs y aplicaciones móviles que solicitan consentimiento para fines ajenos y no necesarios a su servicio. Es decir, cookies no indispensables.
En consecuencia, tanto la esfera pública como privada tendrá que adaptarse a estas y futuras directrices si no quieren verse enfrentados a disputas legales por el derecho que tienen los usuarios a la privacidad de sus datos.
La solución no parece sencilla, sin embargo, pareciera lógico comenzar por flexibilizar conductas condicionantes y de imposición, permitiendo a los usuarios una real opción de aceptar o rechazar el uso de cookies, y no impidiéndoles el acceso al sitio web si lo rechazan. Asimismo, se debiera dejar abierta la posibilidad de que los usuarios puedan retirar el consentimiento previamente otorgado.
Todas estas situaciones son bastante complejas y ocurren en un mundo tan dinámico como el virtual, las cuales deberán resolverse con el tiempo, pero desde ya advertimos que se requerirá de la dictación de leyes, reglamentos y directrices eficientes, donde existan Instituciones que puedan realizar controles preventivos y represivos en caso de incumplimientos. Sin duda, la jurisprudencia también jugará un rol clave.
Las autoridades que serán competentes para conocer de estas materias deberán estar dotadas de facultades suficientes para cumplir con estos fines y así proteger la privacidad de las personas, de lo contrario toda normativa aplicable será un manual de buenas intenciones.
Mauro Dellafiori Albala
Socio
Dellafiori