Derecho
Asociado principal del área de competencia del Estudio Payet
Una de las herramientas más utilizadas para lograr este objetivo son las cookies. Sin embargo, el uso de estas herramientas debe ir de la mano con el conocimiento de las obligaciones existentes en protección de datos personales. De lo contrario, se pueden generar contingencias para las empresas de hasta 100 UIT (125,000 dólares aproximadamente).
- ¿Qué son las cookies y cómo funcionan? Las cookies, incluidas en el grupo de rastreadores, son pequeños archivos de texto que se guardan en los navegadores de los dispositivos con acceso a internet y que registran información sobre la actividad del usuario en un sitio web determinado.
Las funcionalidades de las cookies son vastas. Tenemos, por ejemplo, las cookies de preferencias o personalización que permiten almacenar información del usuario para mejorar su experiencia de navegación en una siguiente oportunidad. También, las cookies de publicidad comportamental que recopilan información sobre hábitos de los usuarios para personalizar la publicidad con base en sus preferencias. Estas últimas resultan en la actualidad uno de los instrumentos más importantes para el marketing de productos o servicios en los canales digitales.
- ¿Cómo se vinculan las cookies con los datos personales? En ciertas ocasiones el uso de las cookies podría implicar un tratamiento de datos personales. Esto ocurre cuando a partir de estas resulta posible identificar a los usuarios de las páginas webs, por ejemplo, por medio de su nombre, e-mail, o algún identificador único que facilite distinguir a unos usuarios de otros y realizar un seguimiento individualizado de estos (como un ID de publicidad).
l ¿Qué hace la autoridad encargada de la protección de los datos personales? Teniendo en cuenta la vinculación que existe entre el uso de las cookies y los datos personales, durante los últimos meses, la Autoridad Nacional de Protección de Datos Personales (la ANPDP) fiscaliza a empresas que cuentan con páginas webs, mediante un software denominado cookiebot, y revisa cuántas y qué tipo de las cookies se utilizan en estos sitios.
Así, se supervisa, entre otros aspectos, si las empresas han cumplido con brindar a los usuarios la información que exige la legislación, de forma previa a la recopilación de sus datos personales, o si han obtenido de modo adecuado el consentimiento de los usuarios, de ser el caso. De llegar a determinar que no se cumplen con estas obligaciones, la ANPDP podría iniciar un procedimiento sancionador de oficio en el cual, según se indica, se pueden imponer multas de hasta 100 UIT, además de medidas correctivas.
- ¿Existe algún parámetro que puedan observar las empresas? A la fecha no existe en el país un antecedente que oriente a las empresas fiscalizadas sobre cómo adecuarse a la normativa de datos personales al utilizar las cookies en sus sitios webs. Esto, a pesar de que la especialidad y la tecnicidad en el uso de las cookies así lo requieren.
De hecho, en otras jurisdicciones se han reconocido las dificultades que presentan las novedades del entorno digital y su incidencia en la privacidad del usuario, motivo que ha generado la publicación de guías y/o lineamientos que desarrollan estos aspectos.[1] Así, por ejemplo, se buscó orientar a las empresas sobre la modalidad idónea para requerir el consentimiento del usuario, la información que deberá ser proporcionada al usuario, entre otros.
- ¿Qué problemas se generan ante la ausencia de lineamientos sobre el tratamiento de datos personales recopilados mediante las cookies? Las empresas fiscalizadas deberán remitirse a la regulación general de datos personales, esto es, la Ley N° 29733, Ley de Protección de Datos Personales, y el Decreto Supremo N° 003-2013-JUS, Reglamento de la ley, a efectos de adecuarse a lo requerido por la ANPDP.
Sin embargo, las disposiciones incluidas en estos cuerpos normativos resultan insuficientes, teniendo en consideración la naturaleza técnica de las cookies. A modo de ejemplo, podrían surgir –cuando menos– las siguientes interrogantes: ¿puede entenderse que la navegación del usuario es una conducta que evidencia su consentimiento para la recopilación de sus datos personales por medio de las cookies? En todo caso, ¿cuál es el modo idóneo de requerir el consentimiento?, ¿cómo informar de manera sencilla al usuario sobre un tema que involucra un alto nivel de especialización en el uso de este tipo de herramientas?
Sin una posición clara de la ANPDP sobre estos aspectos, las empresas fiscalizadas se encontrarán en incertidumbre sobre cómo solicitar el respectivo consentimiento, de corresponder, o cómo informar debidamente al usuario.
Si bien la ANPDP está facultada para supervisar el cumplimiento de la normativa de datos personales, resulta trascendental que desarrolle lineamientos específicos sobre el uso de las cookies, tal como ha sucedido en otras jurisdicciones (e.g. para identificar las cookies que están en su ámbito de aplicación, las obligaciones que deben observarse y sugerir formas de dar cumplimiento a estas). Solo de esta forma las empresas podrán adecuarse y tener certeza que su actuación es acorde a la normativa de la materia.
……
(1) Así, por ejemplo, en España, la Agencia Española de Protección de Datos publicó en julio del 2020 la “Guía sobre el uso de las cookies”, mientras que en México, se cuenta con el documento oficial “Lineamientos del aviso de privacidad”. Ambos documentos proponen soluciones sobre cómo cumplir con las obligaciones previstas en sus respectivos cuerpos normativos relacionadas con el uso de las cookies.