COOKIES, ELABORACIÓN DE PERFILES Y MEDIDAS DE SEGURIDAD

/en

En materia de Cookies hasta la fecha sólo teníamos un par de resoluciones sancionadoras de la AEPD con imposición de sanciones.

Cuando parecía que el asunto estaba olvidado y la alarma generada se había diluido por completo, se ha dictado por los tribunales, en particular por la Audiencia Nacional[1] la primera sanción en materia de <<cookies>> por importe de 3.000 euros ratificando los pronunciamientos de la AEPD.

  1. ¿Qué cookies son las más invasivas en materia de privacidad?

En materia de privacidad las cookies más invasivas son aquellas que monitorizan los hábitos de navegación del usuario y sus intereses para la presentación de publicidad personalizada, llamadas <<cookies de publicidad comportamental>>.

  1. ¿Qué información se obtiene cuando se coloca una cookie de publicidad comportamental?

Cuando se coloca una cookie o dispositivo similar de almacenamiento o recuperación de datos en el navegador del usuario y/o en un equipo terminal, en algunos casos se puede acceder a:

i)              datos personales del usuario (nombre, apellidos, correo electrónico) que permiten la elaboración de un perfil explícito.

ii)             información que podría ser considerada como un dato personal como la dirección IP.

iii)            datos y/o información obtenida por el uso de las cookies que se muestra de forma disociada o agregada sin identificación de personas físicas.

iv)           información que no recibe la consideración de dato personal.

De lo anterior podemos deducir que la información a la que se accede y/o se lee del navegador del usuario y/o equipo terminal mediante la colocación de una cookie puede ser <<un dato personal>> que permite la identificación de una persona física o bien puede no ser un dato personal siendo información disociada y/o agregada que no permite la identificación de persona física-.

En el caso de que mediante el uso de las cookies se recaben datos personales. El acceso y tratamiento de los datos personales obtenidos por la cookie estará sujeto a la normativa de protección de datos y obligaciones asociadas (adopción de las correspondientes medidas de seguridad). Por ejemplo: sí para la colocación de la cookie se lee la IP se habrá de notificar el correspondiente fichero a la AEPD.

En la práctica habitual, la colocación de cookies de publicidad comportamental las colocan terceros diferentes del prestador del servicio (editor-titular del web) y la información obtenida del uso de la cookie la utilizan de manera anónima sin identificación de personas físicas.

Ello no quita que el editor deba informar y obtener el consentimiento para la colocación de dichas cookies.

  1. ¿Qué medidas de seguridad se adoptan cuando se acceden y tratan datos personales mediante la colocación de cookies?

En función de los datos personales que se recaben o a los que se accedan y traten mediante la colocación de cookies se adoptarán medidas de nivel básico o medio.

Nos estamos refiriendo a las medidas de seguridad reguladas en la normativa de protección de datos

Se adoptaran las medidas de nivel básico cuando se crea un fichero que contienen datos como el nombre y apellidos, dirección IP, IMEI del dispositivo móvil etc.

Sin embargo, si se crea un fichero que contiene un conjunto de datos de carácter personal que permiten elaborar una definición de las características, personalidad, hábitos, preferencias, aficiones de las personas así como datos que permiten evaluar determinados aspectos de la personalidad y/o comportamiento de los usuarios. Las medidas de seguridad serán de nivel medio.

  1. ¿Con el análisis de los actos de navegación del usuario mediante cookies, se pueden deducir hábitos, preferencias, y aficiones?

Sí, con el análisis de los datos de navegación del usuario se pueden deducir aficiones, gustos, preferencias.

Si estos datos son incorporados en un fichero como conjunto organizado de datos que permite el acceso a los datos con arreglo a criterios determinados se deberán adoptar las medidas de nivel medio (además de las de nivel básico).

En conclusión, no es cuestión baladí la colocación de cookies y/o dispositivos similares  de almacenamiento o recuperación de datos en el navegador y más recientemente en el dispositivo móvil del usuario cuando con ellos se acceden y tratan datos personales que permiten identificar a la persona física -directamente o indirectamente sin esfuerzos desproporcionados- y no se encuentran disociados o son anónimos.


[1] Sentencia de la Audiencia Nacional de 8 de mayo de 2015