Derecho
Especialista de Datos Personales con estudios en London School of Economics
A consecuencia de la pandemia, los proveedores de bienes y servicios apuestan más por los mercados digitales. Por ello, la Dirección de Fiscalización e Instrucción (DFI) de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DGTAIPD) fiscaliza remotamente a sitios webs, incluyendo las cookies, que son tecnologías incorporadas en dichos sitios para almacenar y recuperar datos utilizados en el equipo terminal de un usuario (celular, laptop, tableta, etcétera). Sin embargo, no existen indicaciones normativas o instrumentales de datos personales que orienten el uso de cookies.
No todas las cookies tratan datos personales. No siempre entran en el ámbito de aplicación de la protección de datos personales o incluso podrían encontrarse exceptuadas de la obtención del consentimiento, conforme al artículo 14.5. de la Ley de Protección de Datos Personales (LPDP). Nuestras razones:
? Las cookies pueden volver a una persona natural identificable, pero no necesariamente las identifica. Las cookies no identifican a una persona; sino a una combinación de cuenta de usuario, equipo y navegador. No siempre la información recopilada del usuario es “personal”, pero aún podría ser un identificador directo o indirecto con otros datos para identificar a una persona natural(1).
Para la Agencia Española de Protección de Datos, esa valla de identificabilidad se da si el usuario es identificado por nombre o dirección de email que lo identifique o mediante identificadores únicos que diferencien a cada usuario y permita hacerles un seguimiento individualizado (como un ID de publicidad)(2).
La “identificabilidad” es uno de los cuatro componentes del dato personal. No obstante, en la legislación peruana este elemento es abstracto, amplio y poco estudiado: “a través de medios que pueden ser razonablemente utilizados” (artículo 2.4. de la LPDP).
La legislación europea (similar a la nacional) utiliza la frase: “probabilidad razonable de que se utilicen medios para identificar a una persona física”(3), estableciendo que la identificación se hace vía datos concretos “identificadores” que identifican o hacen identificable a alguien directa o indirectamente.
Al respecto, Purtova(4) propone dos enfoques de “probabilidad razonable”: absoluto u objetivo, medios razonablemente utilizables por el responsable del tratamiento y cualquier otra persona; versus uno relativo únicamente al responsable del tratamiento. La práctica europea adoptó al primero, pero nuestra legislación aún no especifica.
El Grupo de Trabajo del Artículo 29(5) señala que la identificación es habitualmente por nombres y apellidos, pero existen otros identificadores indirectos como las herramientas de control de tráfico en internet –cookies– para identificar comportamientos de máquinas y usuarios, que son incluidos en categorías (socioeconómicas, psicológicas, etc.) y usados en decisiones automatizadas.
También advierte que la sola e hipotética posibilidad de singularizar a un individuo no lo vuelve “identificable”, sino que deben ponderarse factores como: (i) costos de la identificación, (ii) finalidad del tratamiento, (iii) la manera en que el tratamiento está estructurado, (iv) riesgo de disfunciones organizativas (e.g. quebrantar la confidencialidad), entre otros.
Este panorama dificulta determinar si una cookie contiene información personal, generando “zonas grises”, desprotección a titulares de datos personales y barreras de entrada a proveedores digitales para conocer sus obligaciones.
? Existen varias formas de categorizar a las cookies en la práctica comercial y legal. Según el dominio: (i) propias (gestionadas por el propio editor que presta el servicio); y (ii) de terceros.
Según la finalidad: (i) técnicas, elementales al permitir navegar y utilizar opciones o servicios (identificar la sesión, accesos restringidos, comprar online); (ii) personalización, permiten acceder con características predefinidas; (iii) análisis, recogen información (secciones más utilizadas); y, (iv) publicidad comportamental, gestionan publicidad en función de la navegación, país, etcétera.
Por su duración: (i) de sesión, almacenan información del servicio solicitado por el usuario (e.g. lista de productos adquiridos) hasta terminar la sesión; y (ii) persistentes, permanecen almacenados.
En varias legislaciones, las cookies técnicas (principalmente de sesión y propias) están exceptuadas de (i) informar sobre su uso y (ii) obtener el consentimiento para prestar el servicio solicitado por el usuario. Este tipo de cookies podrían calificar dentro del artículo 14.5 de la LPDP, observando el principio de proporcionalidad.
En las fiscalizaciones, la DFI emplea la versión gratuita del software Cookiebot para determinar la cantidad, tipo, dominio y duración de las cookies en un sitio web. Los administrados pueden acceder desde un navegador web a esa información de forma completa y sin otorgar sus datos personales (desde Google Chrome: hacer “clic derecho” / “Inspeccionar” / “Application” / “Cookies”). Así, el administrado podrá preparar una adecuada política de cookies y prepararse ante una eventual fiscalización.
En conclusión, es necesario que la DFI considere el desarrollo doctrinario de la materia; más aún considerando que las cookies (y otras tecnologías similares) también están presentes en aplicativos de smartphones y tabletas. Esto con la finalidad de obtener pronunciamientos completos y que ayuden a garantizar la predictibilidad para el administrado.