Cookies en colegios y despachos de abogados
El desarrollo de las nuevas tecnologías de la información y la comunicación, sobre todo de Internet, ha transformado a casi todos los sectores profesionales; algunos de forma radical, como los relacionados con la música, el cine, la prensa, o el turismo; y otros en menor medida, al menos de momento. No obstante, parece evidente que estas nuevas tecnologías acabarán transformando, antes o después, todos los sectores profesionales.
En el sector jurídico, aunque el verdadero cambio está aún por llegar, casi todos los colegios y despachos de abogados cuentan con un sitio web. Estos sitios suelen tener distintas páginas web que ofrecen información sobre los mismos y sus actividades.
Obligaciones legales de los sitios web
El hecho de disponer de un sitio web puede implicar tener que cumplir la normativa específica para los prestadores de servicios en Internet, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, en adelante LSSI. Esta norma están obligados a cumplirla todas las personas, físicas o jurídicas, que realicen actividades económicas por Internet y que la dirección y gestión de sus negocios esté centralizada en España.
El criterio para determinar si alguien con un sitio web está incluido dentro del ámbito de aplicación de esta Ley es si constituye o no una actividad económica para su propietario. Así, todos los sitios web que ofrecen servicios a cambio de un precio o contraprestación están sujetos a ella. No obstante, el carácter gratuito no determina por sí mismo que no se está sujeto a la LSSI, ya que existen multitud de servicios gratuitos en Internet que representan una actividad económica para su propietario.
Por tanto, si un despacho de abogados dispone de un sitio web con información del mismo y sus servicios, independientemente de que éstos puedan contratarse o no a través de Internet, debe cumplir con las obligaciones que establece la LSSI para los prestadores de servicios, ya que esta normativa se aplica a toda actividad con trascendencia económica que se realice por medios electrónicos.
Respecto a los colegios de abogados, hemos de señalar que la LSSI no se aplica a las Administraciones Públicas, salvo cuando su actividad sí tenga un carácter económico, como por ejemplo podría ser la venta de libros por una entidad pública dependiente de un Ayuntamiento. Como los colegios de abogados desarrollan una actividad administrativa y una privada, siempre que éstos desarrollen algún tipo de actividad económica en Internet, como la venta de productos o servicios, la publicidad online, la promoción de eventos remunerados directa o indirectamente, etcétera, deben cumplir con las exigencias de esta Ley.
Una de estas obligaciones consiste en facilitar a través del sitio web algunos datos de información general, como son la denominación social o el nombre y apellidos, el NIF, el domicilio y la dirección de correo electrónico, el teléfono de contacto, los datos de inscripción del Registro Mercantil en el caso de estar registrado en el mismo, los códigos de conducta a los que en su caso se esté adherido, y para los abogados, los datos básicos que acrediten el derecho a ejercer la profesión de abogado, es decir, el colegio profesional al que se pertenece y el número de colegiado. La LSSI también hace referencia al cumplimiento de la normativa de protección de datos en los sitios web, siendo obligatorio informar a los usuarios cada vez que se le solicitan datos, sobre quien es el responsable del tratamiento, con que finalidad se le solicitan estos datos, y qué derechos y en qué dirección ejercitarlos tiene respecto a este tratamiento.
Pero ésta no es la única obligación que establece la LSSI a los sitios web, sobre todo desde que se modificaron varios artículos de esta Ley a fin de adecuar su régimen a la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) nº 2006/2004 sobre la cooperación en materia de protección de los consumidores.
Así, el Real Decreto-ley 13/2012, de 30 de marzo, que transponía directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, dio una nueva redacción al artículo 22 de la LSSI, pasando a exigir en su apartado segundo, el consentimiento informado de los usuarios que visitan sitios web para que estos sitios puedan usar cookies, que es la denominación popular que se le da a los archivos o programas informáticos que almacenan información en el equipo del usuario y permiten que se acceda a ésta por el prestador de servicios o por un tercero. A su vez, el pasado 10 de mayo de 2014 se publicó la nueva Ley 9/2014, de 9 de mayo, de Telecomunicaciones, modificando en su Disposición final segunda este mismo artículo de la LSSI.
Las cookies pueden utilizarse por los sitios web con distintas finalidades, por ejemplo, para facilitar la navegación de los usuarios en la misma. Pero como su uso puede desvelar aspectos de la esfera privada de los usuarios, se ha establecido esta nueva exigencia en la LSSI que tiene por objeto que los usuarios estén adecuadamente informados y dispongan de mecanismos que les permitan preservar su privacidad.
Tipos de cookies
Las cookies son archivos, normalmente de texto, que se guardan automáticamente en los ordenadores, móviles, o tablet de los usuarios cuando acceden a determinados sitios web, servicios de Internet, o aplicaciones móviles, y cuya finalidad suele ser almacenar y recuperar información sobre estos usuarios y sus hábitos en Internet. Es decir, cuando una persona visita el sitio web de un colegio o despacho de abogados es muy probable que el software del sitio web esté programado para que se guarden en el propio ordenador del usuario datos sobre lo que éste hace en ese sitio web, para luego recuperarlos y así poder personalizar su visita, analizar su comportamiento, o incluso ofrecerle publicidad personalizada en base a sus hábitos de navegación.
Siguiendo el criterio establecido en la Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos, se pueden distinguir diferentes tipos de cookies según la finalidad para la que se traten los datos que obtienen. Veamos a continuación algunos de estos tipos.
Empezaremos con las cookies técnicas, que son aquéllas que permiten al usuario la navegación a través de un sitio web, y la utilización de las diferentes opciones o servicios que en éste existan, como identificar la sesión, acceder a partes de acceso restringido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido, o compartir contenidos a través de redes sociales.
Otro tipo son las cookies de personalización, que son aquéllas que permiten al usuario acceder al sitio web con algunas características de carácter general predefinidas en función de una serie de criterios del terminal del usuario, como el idioma, el tipo de navegador a través del cual accede al servicio, o la configuración regional desde donde accede al servicio.
Otro más son las cookies de análisis, que son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios en los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.
También están las cookies publicitarias, que son aquéllas que permiten la gestión de los espacios publicitarios incluidos en un sitio web en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios.
Por último, las cookies de publicidad comportamental, que son aquéllas que permiten la gestión de los espacios publicitarios que se hayan incluido en un sitio web. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
Además de por su finalidad las cookies pueden clasificarse según quién las envíe, gestione y trate los datos que se obtengan. Así, podemos diferenciar entre las cookies propias, que son aquéllas que son gestionadas por el propietario del sitio web, y las cookies de terceros, que son aquéllas que no son gestionadas por éstos, sino por otra entidad que trata los datos obtenidos a través de las cookies.
También pueden clasificarse las cookies según el plazo de tiempo que permanecen activadas en el equipo del usuario. Son cookies de sesión las diseñadas para recabar y almacenar datos mientras el usuario accede a un sitio web, y se denominan cookies persistentes las que permiten que los datos sean almacenados, accedidos y tratados en el terminal del usuario durante un periodo definido por el responsable de la cookie, que puede ir de unos minutos a varios años.
En resumen, en función de la entidad que las gestione hay cookies propias o de tercero; en función del plazo de tiempo que permanecen activadas en el equipo terminal hay cookies de sesión y cookies persistentes; según la finalidad para las que se traten hay cookies técnicas, que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios de las mismas; de personalización, que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario; de análisis, que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas; publicitarias, que permiten la gestión de los espacios publicitarios incluidos en la página web; y de la publicidad comportamental, que permiten desarrollar un perfil específico para mostrar publicidad personalizada al usuario.
Ventajas e inconvenientes de las cookies
Una vez analizado que son las cookies, hemos de plantearnos una cuestión, ¿es positivo que los sitios web de los colegios y despachos de abogados usen cookies para obtener información de sus usuarios? En mi opinión sí, ya que permite a los usuarios recibir mejores servicios e información en estos sitios web, y a los primeros les permite conocer mejor las necesidades de los usuarios y los criterios que les han llevado a su sitio web. Y aquí está también el inconveniente, la obtención de información de los usuarios puede ser tan amplia que no es difícil que se vulnere la privacidad de éstos con la excusa de ofrecerles un servicio más adecuado a sus gustos y preferencias.
Para visualizar de una manera clara las ventajas e inconvenientes que tiene que alguien sepa los hábitos y preferencias de los usuarios, podemos ponernos en la piel de una persona que va a su bar habitual, y el camarero, que ya lo conoce, le saluda por su nombre y le sirve su bebida y tapa habitual, todo ello sin tener que preguntarle nada. Esto puede ser agradable para la mayoría de los usuarios de un bar. No obstante, a casi ninguno de los clientes habituales del bar les gustaría que el camarero les siguiera al salir para observar que otras bebidas y tapas toman en otros bares, o incluso sobre qué temas hablan en otros lugares a los que vayan, para que cuando vuelva a su bar poderles ofrecer sus tapas y bebidas preferidas, o sacarles conversaciones sobre temas de su interés, ya que estos clientes podrían sentirse agredidos en su privacidad.
El consentimiento informado sobre el uso de las cookies
Para proteger la privacidad de los usuarios, el artículo 22.2 de la LSSI, tras la última modificación legislativa, establece lo siguiente:
“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre , de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”
Dado lo escueto de este precepto legal y las múltiples complejidades que plantea el uso de las cookies, no es fácil saber qué hacer para que un sitio web cumpla con esta nueva obligación legal. Por ello, ofrecemos aquí algunos consejos para facilitar a los colegios y despachos de abogados que cumplan con la obligación legal que establece el apartado segundo del artículo 22 de la LSSI sobre el uso de cookies en sus sitios web, ya que lo contrario puede suponer una importante sanción. Para ello, además del propio artículo de la Ley, se tendrá en cuenta lo indicado en la ya mencionada Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos, y la Resolución R/02990/2013, del primer Procedimiento Sancionador por incumplir el artículo 22.2 de la LSSI dictada por el Director de esta misma Agencia, como órgano con competencia sancionadora en esta materia.
Consejos para facilitar el cumplimiento del artículo 22.2 de la LSSI
Lo primero que se debe hacer es averiguar si el sitio web del colegio o despacho usa cookies, y en caso afirmativo, con qué finalidades son usadas, ya que algunos tipos de cookies están exceptuadas de cumplir con esta obligación legal de obtener el consentimiento informado de los usuarios. Nos referimos a las cookies utilizadas con la finalidad de permitir únicamente la comunicación entre el equipo del usuario y la red, y a las que se usan estrictamente para prestar un servicio expresamente solicitado por el usuario. No obstante, si el uso de estas cookies supone un tratamiento de datos de carácter personal de los usuarios, sí se deberá cumplir las exigencias establecidas por la normativa sobre protección de datos personales.
Para averiguar qué cookies se tienen y su finalidad es posible que se necesite consultar al administrador o diseñador del sitio web. No obstante, esto es algo que también se puede comprobar a través de las herramientas del navegador.
Una vez averiguado, si el sitio web no usa cookies, o las usa exclusivamente con alguna de las siguientes finalidades: de entrada del usuario, de autenticación o identificación de usuario, de seguridad del usuario, de sesión de reproductor multimedia, de sesión para equilibrar la carga, de personalización de la interfaz de usuario, o de complemento para intercambiar contenidos sociales; se estará exonerado de cumplir el artículo 22.2 de la LSSI , por lo que no es necesario que se informe ni se obtenga el consentimiento de los usuarios sobre el uso de estas cookies.
Por contra, si el sitio web usa cookies con alguna finalidad distinta a las antes mencionadas, se tendrá que cumplir con las dos obligaciones que establece la LSSI, informar previamente de ello y obtener el consentimiento de los usuarios. Debe tenerse en cuenta que una misma cookie puede tener más de una finalidad, por lo que existe la posibilidad de que aun estando exceptuada para una de ellas, no lo esté para otras.
El deber de información
La primera obligación consiste en informar de forma clara y completa acerca de la utilización que se va a hacer de las cookies, de manera que permita a los usuarios entender las finalidades y los usos de las mismas. También debe informarse sobre cómo revocar el consentimiento que en su caso haya otorgado ya el usuario, y cómo puede éste eliminar las cookies. Toda esta información debe tenerse a disposición de los usuarios de forma accesible y permanente en el sitio web, facilitando que pueda ser leída por los usuarios.
Además, esta información debe tener en cuenta el nivel de comprensión técnico de los posibles usuarios del sitio web, que puede ser nulo o muy básico, por ello, debe utilizarse un lenguaje sencillo y comprensible, incluyendo una explicación sobre qué son las cookies y cómo funcionan, así como detallar qué tipo de cookies se utilizan y con qué fines.
Se pueden utilizar distintos sistemas para ofrecer esta información. Una primera opción sería hacerlo a través de una barra de aviso suficientemente visible en el encabezamiento o en el pie de página del sitio web del colegio despacho. En el caso de que se utilicen cookies para prestar un determinado servicio, también podría suministrarse la información al solicitar el alta del servicio junto con la política de privacidad o las condiciones de uso del servicio.
Debido a que la información que hay que ofrecer al usuario del sitio web es amplia, al incluirla en la barra de aviso es posible que la misma impida ver el contenido del sitio web. Por ello, una opción mejor que la anterior es ofrecer la información por capas, es decir, mostrando la información esencial en una primera capa cuando se accede al sitio web, y completándola en una segunda capa mediante otra página dentro del sitio web en la que se ofrezca información adicional sobre las cookies.
Por tanto, como primera capa, debe incluirse en el sitio web un formato de aviso, que se mantenga bien visible hasta que el usuario realice la acción requerida para la obtención de su consentimiento, como por ejemplo la barra de aviso antes mencionada, que informe del uso de cookies no exceptuadas que se instalarán al navegar por el sitio web o al solicitar un determinado servicio, que identifique las finalidades de las cookies que se instalan, indicando si serán utilizadas sólo por el propietario del sitio web o también por terceros, que advierta que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies, y que incluya un enlace con la expresión “política de cookies”, o similar, que lleve a otra página del sitio web como segunda capa informativa donde se ofrezca una información más detallada.
La obtención del consentimiento
Después de informar, ha de obtenerse el consentimiento del usuario para poder instalar y usar las cookies, bien sea de forma expresa, como por ejemplo haciendo clic en un botón de aceptación, o infiriéndolo de una determinada acción consciente y positiva del usuario, siempre se le haya informado previamente según lo anteriormente expuesto, de forma que se entienda que éste acepta que se instalen las cookies. Sin embargo, ha de tenerse en cuenta que la mera inactividad del usuario no significa su consentimiento.
Como ya se ha indicado, en la primera capa debe incluirse la petición de consentimiento para la instalación de las cookies. Si a pesar de dar la posibilidad de aceptar el uso de cookies en el sitio web, el usuario no manifiesta expresamente si acepta o no la instalación de las mismas, pero continúa navegando en el sitio web, cabría entender que ha prestado su consentimiento, siempre que se le haya informado en este sentido y que exista el aviso en el sitio web sobre la utilización de las cookies y la posibilidad de desinstalarlas.
Así, una vez que se haya informado al usuario desde el sitio web y que se haya obtenido su consentimiento, será el momento en el que se pueda instalar y usar las cookies en el equipo del usuario. Por tanto, si nada más acceder un usuario al sitio web se le instala una cookie en su equipo, no se estará cumpliendo con la necesidad de obtener su consentimiento informado.
En resumen, si se opta por el ya mencionado sistema de capas, en la primera debería incluirse al menos la siguiente información:
- Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
- Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.
- Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
- Un enlace a la segunda capa informativa, la “política de cookies”, en la que se indica una información más detallada.
En la segunda capa debería incluirse la siguiente información:
- Definición y función de las cookies.
- Tipo de cookies que utiliza el sitio web y su finalidad.
- Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
- Identificación de quienes utilizan las cookies, incluidos los terceros con lo que se haya contratado la prestación de un servicio que suponga el uso de cookies.
Google Analytics
Actualmente está muy extendido entre los propietarios de sitios web, colegios y despachos de abogados incluidos, el uso de Google Analytics, una herramienta gratuita de analítica a través de Internet que ayuda a entender el modo en que los usuarios interactúan en un sitio web, y que incluso permite observar en directo cuantos usuarios hay en ese momento en el mismo y que páginas están visitando. Para ello, este servicio utiliza un conjunto de cookies.
Por tanto, como las cookies de análisis no están exceptuadas de la obligación de recabar el consentimiento informado del usuario, antes de que desde un sitio web se introduzcan las cookies que usa Google Analytics en el equipo del usuario, éste debe haber prestado su consentimiento según se ha expuesto anteriormente. Sin embargo, esto no es tarea fácil, ya que el funcionamiento normal de este servicio introduce las cookies de análisis en el equipo del usuario nada más llegar al sitio web, por lo que se tendrá que programar el mismo para cumplir con la exigencia legal de obtener previamente el consentimiento informado del usuario.
Además, esta exigencia de no poder contabilizar y analizar la visita del usuario hasta obtener su consentimiento, impedirá saber con certeza cuántos usuarios visitan y qué hacen en el sitio web. Siguiendo el ejemplo anterior del bar, es como si una norma impidiera al propietario de un bar contar los visitantes que tiene al día, aunque fuera de forma anónima, y saber cuáles de sus bebidas o tapas tienen más éxito.
Sanciones
En definitiva, si se van a instalar y utilizar cookies en los terminales de los usuarios que accedan al sitio web, debe cumplirse con lo establecido por el artículo 22.2 de la LSSI, y facilitarles previamente información clara y completa sobre el uso y finalidades de dichos dispositivos, y contar tras ello con un consentimiento válidamente otorgado. En caso contrario, se estaría infringiendo el artículo 22.2 de la LSSI.
Respecto al deber de informar a los usuarios del sitio web, el art. 38.4 g) de la LSSI establece que si se incumple la obligación de información establecida en el apartado 2 del artículo 22, se producirá una infracción calificada como leve, que conlleva como sanción una multa de hasta 30.000 euros. No obstante, en de caso reincidencia en la comisión de esta infracción, cuando así se hubiera declarado por resolución firme dictada en los tres años inmediatamente anteriores a la apertura del procedimiento sancionador, sería calificada como grave, que conlleva como sanción una multa de 30.001 hasta 150.000 euros.
Y respecto al deber de obtener el consentimiento, desde la última modificación de la LSSI, el mismo art. 38.4 g) establece también que si se incumple la obligación de obtener el consentimiento establecida en el apartado 2 del artículo 22, se producirá una infracción calificada como leve, que conlleva como sanción una multa de hasta 30.000 euros. No obstante, en de caso reincidencia en la comisión de esta infracción, cuando así se hubiera declarado por resolución firme dictada en los tres años inmediatamente anteriores a la apertura del procedimiento sancionador, sería calificada como grave, que conlleva como sanción una multa de 30.001 hasta 150.000 euros. Por lo tanto, la sanción, es la misma que respecto al deber de informar.
Antes de la última modificación de la LSSI, aunque el uso de cookies se llevara a cabo sin mediar el consentimiento de los usuarios, la vulneración de este requisito previo a la instalación de cookies no resultaba sancionable en virtud de la redacción que tenía la LSSI, ya que en el ámbito administrativo sancionador rigen los principios de legalidad y tipicidad recogidos en la Ley 30/1999, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, que obligan a circunscribirse al sentido literal del precepto y a la tipificación contemplada respecto del mismo, sin que en ningún caso quepa efectuar una interpretación en sentido amplio. Por lo tanto, no podía sancionarse una conducta que no estaba contemplada en el tipo sancionador fijado por la LSSI, ya que este precepto a lo que hacía referencia es al establecimiento de un procedimiento de rechazo del tratamiento de datos.
Conclusión
Como conclusión, es muy probable que el sitio web del colegio o despacho de abogados use cookies no exceptuadas, aunque no se sea consciente de ello, por ello, es obligatorio informar sobre el uso de estas cookies desde el sitio web y obtener el consentimiento tal y como aquí se ha expuesto, y no hacerlo puede acarrear una multa de hasta 30.000 euros.