CASE STUDY & MASTER CLASS

Determinación del régimen jurídico de los perfiles generados por las cookies en función de su tipología

Tribuna
Alberto-Cuesta-Urena_EDEIMA20140606_0001_1.jpg

PLANTEAMIENTO

La empresa tecnológica X acaba de lanzar su solución de software "The red carpet welcolme", un servicio de pago, bajo modelo de suscripción, destinado a su comercialización inicialmente a empresas. Se trata de una solución que genera una capa o sayo protector a nivel de LAN corporativa para evitar que -en los ordenadores, smartphones , tabletas y resto de objetos o instrumentos conectados a Internet (a partir de ahora "terminales") e incluidos en la LAN del cliente- se puedan descargar e instalar las cookies de navegación y con ello salvaguardar toda la información tanto técnica de cada terminal, como comportamental de cada usuario. Para ello el software "The red carpet welcolme" logra receptar las cookies y las nutre de falsos perfiles dotados todos ellos de una mínima e inservible información, la suficiente para que las cookies residenciadas puedan operar, si bien dicha información resulta a todos los extremos inexacta e inveraz, amén de inútil para extraer conclusiones por parte de las páginas y sites que las envían, al igual que resultan inservibles para los buscadores (Google, Yahoo, Bing... ) así como para aquellos "terceros" que sin ser las webs y sites que lanzan las cookies en cambio se encargan de tratar los datos que las cookies capturan.

A la semana de su lanzamiento en la sede central de la empresa se recibe una inesperada demanda que pide el cese de inmediato de la promoción y comercialización de este producto, así como su retirada del mercado y el resarcimiento por daños y perjuicios que la comercialización y puesta en funcionamiento de la solución haya podido ocasionar desde su lanzamiento.

PREGUNTAS:

-¿Sería jurídicamente válido en términos de mercado y competencia un servicio como "The red carpet welcolme"?

En términos de mercado y competencia, debemos partir de la base que las cookies no se convertirán en un activo empresarial propiedad de una entidad jurídica sin el consentimiento de la persona afectada. En el momento en el cuál una persona navega por Internet puede decidir hacerlo dejando un rastro digital o no. Los creadores de "The red carpet welcolme" no han realizado un acto de competencia desleal por varios motivos.

En primer lugar, puesto que su software se dirige al uso a nivel de las LAN corporativas (red de área local), por lo tanto no se puede considerar un acto que se realiza en el mercado al no tener trascendencia externa ya que nunca producirá efectos sustanciales en el mismo. En segundo lugar, la empresa tecnológica pretende con esta solución de software que los usuarios de las entidades a nivel interno no sean “trackeados” por terceros ajenos a la red LAN. En consecuencia, no estamos ante un acto que se realiza con fines concurrenciales ya que no nos encontramos ante un acto cuya finalidad sea promover o asegurar la difusión en el mercado de las prestaciones propias o de un tercero.

Por último, la comercialización de este tipo de software no se puede considerar un acto contrario a la buena fe, ni que afecte a la libre competencia en el mercado.

- ¿La solución "The red carpet welcolme" su funcionamiento es conforme a la normativa en Protección de Datos?

Esta solución de software manifestaría, en nombre de los usuarios de las entidades con una LAN corporativa, que no desean ser rastreados, que no consienten la instalación de cookies. Por tanto, la instalación del software se podría traducir como una manifestación de no consentimiento debido a que evita que terceras entidades usen información personal. A partir de esta premisa debemos responder positivamente a la cuestión planteada. La normativa de Protección de Datos tiene como finalidad ofrecer a las personas el derecho a controlar el destino de su información personal, "The red carpet welcolme" lo permite. En todo caso, la solución deberá asegurar en todo momento el cumplimiento de los principios que vertebran la normativa recogidos en el Título II de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y, fundamentalmente, los establecidos en el artículo 4 (calidad), artículo 5 (derecho de información) y artículo 6 (consentimiento).

- ¿Y conforme a la Ley de Servicios de la Sociedad de la Información?

La solución analizada tiene como objetivo que las personas no sean rastreadas por terceros al navegar dentro de una LAN corporativa. Partiendo de esa base, el software analizado tiene un fin radicalmente contrario al que originó el nacimiento de las obligaciones sobre las cookies, pero ello no es óbice para que deba respetar las obligaciones que dimanan de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico y que son relativas al deber de información y la obtención del consentimiento. Debe cumplir con estos requisitos, puesto que "The red carpet welcolme", realiza un tratamiento sobre la información personal que contienen las cookies. La obtención del consentimiento puede darse a través de aplicaciones como la solución de software estudiada. En consecuencia, solo faltaría asegurarnos que la solución recoge el consentimiento generando las evidencias electrónicas adecuadas y, a su vez, que informa claramente de todos los aspectos sobre la recogida, tratamiento y destino de las cookies. Dicha obligación, la vemos reflejada en el apartado segundo del artículo 22.2 de la LSSI establece: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.”

-¿Dicha demanda podría ser admitida actualmente en nuestros tribunales?

La admisión de la demanda, al tratarse de responsabilidad extracontractual, dependerá del país donde se ha producido el daño directo (lex loci damni). Este hecho prevalece sobre el lugar en el cuál se ha cometido el acto que genera el daño o los lugares en los cuales concurran consecuencias indirectas. En todo caso, prevalecerá la Ley del país respecto al cual el hecho dañoso presente vínculos más estrechos si no coincidiera con el país donde efectivamente se produjo el daño. Aunque debemos señalar que, aun tratándose de responsabilidad extracontractual, puede existir un pacto entre la empresa tecnológica propietaria del software "The red carpet welcolme" y las empresas o terceros perjudicados. Este acuerdo podría ser posterior a la generación del hecho dañoso y permitiría decidir bajo que jurisdicción se resolverá el conflicto. Este pacto deberá ser expreso no pudiendo perjudicar a terceros. Por lo tanto, los tribunales españoles podrían admitir el reto de resolver este conflicto.

Como hemos observado en distintas resoluciones de tribunales alemanes resultado de reclamaciones de medios de comunicación germanos contra los programas que bloquean la publicidad (los llamados Adblockers), éstos no han sido prohibidos puesto que los mismos no eliminan la publicidad y lo que hacen es filtrarla. Además, se añade, que corresponde al usuario el poder de decisión sobre el hecho de recibir inputs publicitarios o no hacerlo. En este caso, nos topamos con un caso que en muchos aspectos es análogo, la publicidad se basa en el análisis de la información personal de los usuarios al navegar puesto que la misma incrementa la efectividad de las campañas publicitarias al dirigirse a un público objetivo, interesado.

- ¿Quién se encargaría de valorar esos pretendidos perjuicios que la solución hubiese producido al falsear, deformar y confundir la información recogida por las cookies?

No sería una misión fácil valorar económicamente los perjuicios que podría generar el uso de este tipo de software por parte de las empresas. Un perito sería la persona elegida, aunque actualmente el mercado carece de un perfil adecuado para valorar este tipo de asuntos por la complejidad del mismo. Pero sin duda, debería tratarse de una persona con conocimientos en cuatro campos: técnicos, jurídicos, marketing online y en operaciones de Data Brokers. Conocimientos técnicos para poder, en base a evidencias electrónicas, decidir si la información que contiene una cookie ha sido tratada, en qué momento, de qué forma, por medio de qué tipo de software, etc.; Conocimientos jurídicos para valorar si los tratamientos efectuados con la información personal son acordes a las normativas que aplican como las de privacidad y de la Sociedad de la Información; Conocimientos en marketing online que servirían para que el perito pueda determinar desde el punto de vista publicitario el valor de los datos que se están tratando; por último, poseer experiencia y conocimientos de proyectos u operaciones de empresas de Data Brokers (como Acxiom, Corelogic, Datalogix, eBureau, ID Analytics, Intelius, PeekYou, Rapleaf, Recorded Future, etc.), sería un plus para cualquier perito en aras de valorar económicamente de forma adecuada los perjuicios empresariales que se pueden haber producido en el mercado por el uso de la solución "The red carpet welcolme".

- ¿Los navegadores (Google, Yahoo, Bing...) pueden arrogarse la representación legal y procesal en la defensa de los intereses de las webs y sites indexados por los propios navegadores, teniendo en cuenta que nos referimos a las webs y sites a los que se ha navegado desde los terminales de la LAN de la empresa X?

No pueden los navegadores apropiarse de la representación legal debido a que, aunque ellos pueden considerarse perjudicados por el uso de este tipo de software, no son los únicos y sus ingresos proceden de diversas fuentes y no solo del tratamiento de las cookies. Existen otros intervinientes que podrían alegar un importante perjuicio en caso que este tipo de soluciones se extendieran más allá de las redes LAN, al igual que se están extendiendo los Adblockers. Se trata de entidades cuyo núcleo de negocio es el tratamiento de las cookies, como son las Redes Publicitarias que ofrecen la posibilidad de obtener espacios publicitarios o algún tipo de resultado concreto como clics, ventas o registros, a través de la gestión y tratamiento de los datos obtenidos de la utilización de las cookies descargadas o almacenadas en los equipos terminales de los usuarios; o como son las Empresas de Análisis y Medición, que son entidades que miden y/o analizan el comportamiento de la navegación de los usuarios en la página web de un editor, actuando en su nombre y representación, a través del análisis de los datos obtenidos con la utilización de las cookies. Podrían concurrir otros terceros perjudicados, pero al igual que los navegadores, no está considerado el núcleo de su negocio el tratamiento de cookies, como son las Agencias de Publicidad y Agencias de Medios; Anunciantes o los propios Editores (cualquier entidad prestadora de servicios de la sociedad de la información titular de una página web a los que puede acceder un usuario).

Diferentes objetivos, pero de naturaleza común. Todas las cookies son pequeños archivos que se instalan en nuestro ordenador al navegar por determinadas páginas webs,  pero sus finalidades son heterogéneas. Este hecho influye en el tratamiento que la Ley establece. Sirven para intercambiar información entre el equipo del usuario y el servidor de origen. Estos archivos permiten el almacenamiento en el terminal del usuario de cantidades de datos que van de unos pocos kilobytes a varios Megabytes. No todas las cookies están afectadas por las exigencias legales en relación a la solicitud de consentimiento y a los requerimientos de información a los usuarios.

Es factible realizar diferentes clasificaciones sobre las cookies, por ejemplo según la entidad que las gestiona (propias o de terceros); según el tiempo que permanezcan activas (de sesión o persistentes); según su finalidad (técnicas, de personalización, de análisis, publicitarias y las comportamentales). Pero en este caso, hemos optado por categorizarlas entre las que están afectadas por la Ley y las que están exentas del cumplimiento de las obligaciones que marca la normativa.

1.- Están exentas del cumplimiento de la Ley:

- Las que solo permiten la comunicación entre el equipo del usuario y la red.

- Las necesarias para la prestación de un servicio de la sociedad de la información expresamente solicitado por el usuario.

En consecuencia, nos referimos a las cookies técnicas, de personalización/configuración y las de seguridad:

Técnicas: necesarias para navegar. Los websites no funcionarían correctamente sin su participación (por ejemplo sirven para realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, etc.).

Personalización/Configuración: permiten al usuario acceder al servicio con algunas características generales predefinidas en función de una serie de criterios en el terminal del usuario (tipo de navegador, idioma, etc.).

Seguridad: evitan o dificultan los ataques dirigidos a los usuarios o al website.

2.- Aplica la normativa a las cookies analíticas, publicitarias y a las de seguimiento:

Analíticas: Posibilitan la medición de la actividad de los usuarios y la elaboración de estadísticas de navegación. Es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.

Publicitarias: Gestionan la frecuencia y el contenido de los anuncios.

Seguimiento: Almacenan información sobre los usuarios para ofrecerles publicidad personalizada. 

Debemos señalar que los usuarios disponen de un derecho llamado de revocación u oposición al uso de las cookies instaladas después de haberlas consentido, pero este derecho es de difícil ejecución por parte de los editores o propietarios de los websites.

Para acabar, y como hemos podido comprobar estos archivos “dan mucho juego” a nivel legal, pero desde un punto de vista práctico, el usuario medio continúa igual de desorientado que antes de la aparición de las obligaciones de información sobre las cookies debido a que en la gran mayoría de casos consideran una molestia el tener que aceptar o eliminar la ventana emergente (pop-up) que les aparece en los websites y acaban por no leerlo.

Como corolario a este “Case Study”, se debe de tener siempre presente, ante la idea de crear una nueva solución de software, qué tipo de activos empresariales va a tratar dicho software y si estos incluyen datos personales. En ese caso, deberemos tener en cuenta que la propiedad de los mismos no es nuestra, tan sólo será la posesión temporal de los datos. El destino de ese capital de datos que poseemos siempre vendrá supeditado por la decisión de la persona afectada. Por ello debemos tomar en consideración como un riesgo empresarial al lanzarnos con una nueva idea de negocio de este tipo que, aunque para desarrollar y alcanzar éxito a nivel comercial con el nuevo software no sea necesario respetar la privacidad desde el diseño y por defecto, ésta debe tenerse presente. Si no queremos que un negocio en apariencia viable naufrague al cabo de pocos meses o años por no haber ponderado convenientemente este riesgo legal, el riesgo a una elevada sanción administrativa por incumplir las normativas sobre privacidad e Internet, o a la reclamación de una indemnización por el afectado o por parte de un tercero perjudicado por el uso de una nueva solución de software.


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación