Viernes 21 de junio de 2024 | Suscríbete al Newsletter de La Ley

¿Las cookies son necesariamente datos personales? A propósito de las recientes fiscalizaciones remotas

¿Las cookies son necesariamente datos personales? A propósito de las recientes fiscalizaciones remotas

Gabriela Bolaños: «Es necesario obtener pronunciamientos de la Dirección de Fiscalización e Instrucción que garanticen -entre otras- legalidad, verdad material y predictibilidad».

Por Gabriela Bolaños Vainstein

jueves 11 de febrero 2021

Loading

[Img #29013]
1. Introducción

A consecuencia de la pandemia, los proveedores de bienes y servicios están apostando más por los mercados digitales. Por ello, la Dirección de Fiscalización e Instrucción (DFI) de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DGTAIPD) está fiscalizando remotamente a sitios webs, incluyendo las cookies, que son tecnologías incorporadas en dichos sitios para almacenar y recuperar datos utilizados en el equipo terminal de un usuario (celular, laptop, tablet, etc.).

 

Sin embargo, en el panorama nacional no existen indicaciones normativas o instrumentales que orienten la aplicabilidad del régimen peruano de protección de datos personales al uso de las cookies.

 

2. ¿Porqué no todas las cookies necesariamente son datos personales?

 

No todas las cookies tratan datos personales. No siempre entran en el ámbito de aplicación de la protección de datos personales o, incluso, podrían encontrarse exceptuadas de la obtención del consentimiento, conforme al art. 14.5 de la Ley 29733, Ley de Protección de Datos Personales (LPDP)[1]. Nuestras razones:

2.1. Las cookies pueden volver a una persona natural identificable pero no necesariamente la identifican.

 

Las cookies no identifican a una persona; sino a una combinación de cuenta de usuario, equipo y navegador. Dependiendo de la información que contengan y de la forma en que se utilice un equipo, pueden servir para reconocer a un usuarioNo siempre la información recopilada del usuario es “personal”, pero aún podría ser un identificador directo o indirecto con otros datos para identificar a una persona natural.

 

Para la Agencia Española de Protección de Datos (AEPD), este umbral empieza cuando el usuario es identificado por nombre o dirección de email que lo identifique, o mediante identificadores únicos que distingan a cada usuario y permita hacerles un seguimiento individualizado (como un ID de publicidad)[2].

 

Complementariamente, la DGTAIPD con fines prácticos en el numeral II.2 de los formularios de inscripción de los bancos de datos personales[3], enumera como tipos de datos de personales de carácter identificativo por lo menos a los siguientes: “nombres y apellidos, Nº DNI, Nº RUC, Nº de Pasaporte, Carné de extranjería, dirección del domicilio, teléfono, dirección de correo electrónico, imagen, voz, forma, firma electrónica”.

 

Para determinar si es aplicable la LPDP, urge recurrir al criterio legal peruano de identificabilidad, que es uno de los cuatro componenetes de un dato personal. No obstante, este es abstracto, amplio y poco estudiado[4]: “a través de medios que pueden ser razonablemente utilizados” (

 

En esto, la legislación europea es similar a la nacional en el considerando 26 del Reglamento UE 2016/679, Reglamento General de Protección de Datos Personales: “probabilidad razonable de que se utilicen medios para identificar a una persona física”. Para ella, la identificación es mediante datos concretos «identificadores» que pueden identificar o hacer identificable a alguien directa o indirectamente.

 

Purtova[5]  propone dos enfoques de «probabilidad razonable»: absoluto u objetivo, medios razonablemente utilizables por el responsable del tratamiento y cualquier otra persona; versus uno relativo al responsable del tratamiento. La práctica europea adoptó al primero, pero nuestra legislación aún no especifica.

 

El Grupo de Trabajo del Artículo 29[6] señala que la identificación es habitualmente por nombres y apellidos, pero existen otros identificadores indirectos como las herramientas de control de tráfico en Internet –cookies– para identificar comportamientos de máquinas y usuarios, que son incluidos en categorías (socioeconómicas, psicológicas, etc.) y usados en decisiones automatizadas[7].

 

También menciona que la sola e hipotética posibilidad de singularizar a un individuo lo vuelve identificable, deben ponderarse factores como: “(i) costos de la identificación, (ii) finalidad del tratamiento, (iii) la manera en que el tratamiento está estructurado, (iv) rédito que espera el responsable del tratamiento, (v) intereses individuales en juego, (vi) riesgo de disfunciones organizativas (e.g., quebrantamiento de la confidencialidad) y (vii) fracasos técnicos.

 

Tampoco debiera obviarse al carácter dinámico de los datos personales, estos pueden no ser identificables individualmente al inicio del procesamiento (dadas las herramientas y los datos disponibles); pero ello puede variar desde la perspectiva terceros o si las circunstancias cambian por el avance tecnológico[8].

 

Este panorama -sobretodo ante eventuales identificadores indirectos-, dificulta determinar si una cookie contiene información personal, generando zonas grises, desprotección a titulares de datos personales y barreras de entrada a proveedores digitales para conocer sus obligaciones.

2.2. Existen muchas formas de categorizar a las cookies en la práctica comercial y legal.

 

En la práctica comercial se han generado distintas categorizaciones con respecto a la cookies, a continuación las más importantes que también han sido recogidas por la práctica legal:

 

  • Según su dominio: (i) propias (gestionadas por el propio editor que presta el servicio), (ii) de terceros (por una persona distinta)[9].

 

  • Según su finalidad: (i) técnicas, elementales al permitir navegar y utilizar opciones o servicios (e. g., identificar la sesión, accesos restringidos, comprar online); (ii) personalización, permiten acceder con características predefinidas; (iii) análisis, recogen información (e. g., secciones más utilizadas); y, (iv) publicidad comportamental, gestionan publicidad en función de la navegación, país, etc.[10]

 

  • Según su duración: (i) de sesión, almacenan información del servicio solicitado por el usuario (e. g., lista de productos adquiridos) hasta terminar la sesión; y (ii) persistentes, permanecen almacenados[11].

3. Fiscalizando al panorama actual

En varias legislaciones las cookies técnicas -sobretodo si también son de sesión y propias-, están exceptuadas de (i) informar sobre su uso, y (ii) obtener el consentimiento[12]; para prestar el servicio solicitado por el usuario pero no para otras finalidades no exentas. Lo anterior podría estar contemplado -incluso si recabaran datos personales pero siempre acatando los principios de finalidad y proporcionalidad-, en el artículo 14.5 de la LPDP.

 

Como ya se mencionó, las cookies también son insumos importantes -con otros datos personales- para decisiones automatizadas y elaborar perfiles (e.g., uso de algoritmos para valorar el nivel de scoring a un crédito o a un seguro de salud, etc.). A diferencia del escenario nacional, ciertas legislaciones han incorporado obligaciones (informar sobre la lógica utilizada, la importancia y las consecuencias previstas de dicho tratamiento) y derechos específicos (derecho a no ser objeto de decisiones individuales automatizadas) para proteger a titulares de los datos personales contra efectos jurídicos y decisiones que les afecten significativamente de modo similar.

En las fiscalizaciones, la DFI emplea la versión gratuita del software “Cookiebot” para determinar la cantidad, tipo, dominio y duración de las cookies en un sitio web. Los administrados pueden acceder desde un navegador web a esa información de forma completa y sin otorgar sus datos personales, por ejemplo desde Google Chrome haciendo: “Click derecho” / “Inspeccionar” / “Application” / “Cookies”. Así, de ser el caso, el administrado podrá preparar una adecuada política de tratamiento de cookies y prepararse ante una eventual fiscalización.

Un sitio web puede contener múltiples páginas webs, debiéndose revisar cada página web si se desea saber la totalidad de cookies empleadas, pues a la fecha versiones gratuitas como la anterior solo las detectarán parcialmente escaneando hasta 5 páginas del sitio web.

4. Conclusión

Finalmente, es necesario obtener pronunciamientos de la DFI que garanticen -entre otras- legalidad, verdad material y predictibilidad; considerando:

 

  • El desarrollo doctrinario sobre cuándo el contenido de una cookie puede resultar ser un identificador directo o indirecto de una persona natural.

  • El ámbito de aplicación y supuesto de hecho de la LPDP aplicables en cada caso.

  • Orientar en el entorno digital (conforme a los dos puntos anteriores), el cumplimiento de las obligaciones legales y el ejercicio de derechos de datos personales.

 

Todo esto, teniendo en cuenta que las cookies y otras tecnologías similares (e.g., web beacons, local shared objects, digital fingerprinting, etc.) están presentes tanto en sitios webs como en otros aplicativos para smartphones y tablets.


[1]     El texto del Art. 14.5 de la LPDP es el siguiente:

 

Cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.

  1.     Agencia Española de Protección de Datos (AEPD). Guía sobre el uso de las cookies. Madrid: AEPD, 2020, pp. 11-12. Disponible en https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf [consultado el 30 de enero de 2021].

[3]     Las denominaciones exactas, según el titular del banco de datos, son las siguientes:

      “Formulario TUPA Nº 34 A: Formulario para entidades públicas”, “Formulario TUPA Nº 34 B: Formulario para persona natural”, “Formulario TUPA Nº 34 C: Formulario para persona jurídica”.

  1.     Como referencia, la ISO/IEC 19944:2017 “Information technology — Cloud computing — Cloud services and devices: Data flow, data categories and data use” establece calificadores de identificación de datos para describir el grado en que los datos identifican directamente a un individuo y cómo éste está asociado con las características (atributos) en los datos.

 

[5]          Purtova, Nadezhda. «The law of everything. Broad concept of personal data and future of EU data protection law». En Law, Innovation and Technology, num. 10, vol 1 (2018), pp. 40-81. Disponible en https://doi.org/10.1080/17579961.2018.1452176 [consultado el 29 de enero de 2021].

[6]     Grupo de trabajo del artículo 29 (GT29). WP 136 Dictamen 4/2007 sobre el concepto de datos personales. Bruselas: GT29, 2007, p. 15. Disponible en https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_es.pdf [consultado el 30 de enero de 2021].

[7]     Ibid., p. 16.

 

[8]     Ibid., p. 17.

 

[9]    AEPD, Op. Cit, p. 11.

 

[10]   Ibid., pp. 11-12.

 

[11]   Ibid., p. 13.

 

[12]     En España estas cookies se encuentran excluidas del ámbito de aplicación del artículo 22.2 de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, no siendo necesario informar ni obtener el consentimiento sobre su uso.


*Gabriela Bolaños Vainstein. Bachiller en derecho por la Universidad de Lima y especialista de Datos Personales con estudios en London School of Economics.

NEWSLETTER DE LA LEY.PE

NOTICIAS RELACIONADAS