El pasado 18 de octubre, la Autoridad Nacional de Protección de Datos (ANPD) de Brasil lanzó la guía “Cookies y Protección de Datos” con el objetivo de orientar a los diferentes actores sobre cómo utilizarlas. Así, la ANPD, busca educar sobre qué son las cookies con el propósito de promover la cultura de protección de datos personales.
Para mayor contexto, las cookies son archivos que se instalan en los dispositivos del usuario y que permiten recopilar determinada información para cumplir diversos fines. Se utilizan, por ejemplo, para identificar la sesión de un usuario, permitir pagos en línea, publicar anuncios personalizados o medir eficacia del sitio web. El principal problema relacionado al uso de esta tecnología es la falta de transparencia, ya que generalmente la información sobre cómo se produce la recogida de datos personales y su tratamiento no es del todo clara.
Para guiar a los responsables del tratamiento, en la entrega de información a los titulares, el documento clasifica las categorías de cookies en cuatro grandes grupos:
- Cookies de acuerdo con la entidad responsable de su gestión.
- Cookies en función de las necesidades.
- Cookies de acuerdo a las finalidades.
- Cookies según el periodo de conservación de la información.
Por otro lado, menciona los principios generales aplicables a la recogida de datos personales mediante estos archivos, a saber:
- Principio de finalidad, necesidad y adecuación.
- Principio de acceso abierto y transparencia.
- Garantiza que los derechos del titular sean respetados y que se cumplan las bases de licitud del tratamiento.
En esta línea, la guía es enfática en señalar que se deberá garantizar la posibilidad efectiva de aceptar el uso de cookies, sin ninguna consecuencia negativa o intervención del responsable que pueda viciar o menoscabar la manifestación de voluntad del usuario. De acuerdo a la exigencia legal de la Ley General de Protección de Datos (LGPD) de dicho país, no se podrá “forzar” el consentimiento, es decir, no estará permitida la plena aceptación de las condiciones del uso de cookies, sin que ello suponga el suministro de opciones efectivas al titular. En este sentido, el consentimiento deberá ser siempre informado, requiriéndose, a tal efecto, que al titular se le presente toda la información necesaria para poder tomar una decisión.
Sin embargo, la autoridad señala que de acuerdo a lo que establecen los requisitos de la LGPD, se puede afirmar que no procederá utilizar la hipótesis del consentimiento en aquellos casos en que las cookies son estrictamente necesarias para garantizar el servicio, porque sin ellas no podría funcionar el sitio web. Asimismo, el consentimiento no será una base de licitud adecuada para el cumplimiento de obligaciones legales. En cualquier caso, siempre se deberá garantizar que los titulares puedan ejercer los derechos que le confiere la LGPD.
Adicionalmente, el interés legítimo del responsable podrá utilizarse como base de licitud en el tratamiento, en caso de datos personales que no son sensibles. El interés del responsable se considerará legítimo, por ejemplo, cuando sea compatible con el ordenamiento jurídico y no entre en conflicto con otras disposiciones de la ley. Para que el tratamiento se considere adecuado, el responsable deberá tener certeza de que el uso previsto de la información no lesionará los derechos y libertades de los titulares. En general, la ANPD ha entendido que esta será una base de licitud adecuada en caso de que se utilicen cookies estrictamente necesarias, es decir, aquellas que son imprescindibles para la prestación del servicio o bien en caso de las cookies analíticas o de medición.
Finalmente, y para cumplir con el principio de transparencia, la ANPD recomienda la elaboración de una Política de Cookies que sea visible dentro del sitio web junto con el desarrollo de banners que permitan reforzar los principios de protección de datos personales de manera simplificada. En esta línea, la ANPD no recomienda el uso de banners de cookies con opciones de autorización preseleccionadas ni la adopción de mecanismos de consentimiento tácito.
En Chile, contamos con la Ley Sobre Protección de la Vida Privada (Ley N° 19.628) que indica los lineamientos a seguir en el tratamiento de datos personales. En este sentido, y para la recogida de datos mediante cookies, el responsable del tratamiento debiese adoptar las obligaciones y principios de esta norma. Sin embargo, es común que en estos casos la aplicación de los principios de la Ley N° 19.628 quede a discreción del responsable. En nuestra experiencia, es un tema que se tiende a descuidar, ya que aún es desconocido por todos los actores del ecosistema. Consideramos que la pronta aprobación del proyecto de ley de datos personales y la creación de una autoridad fiscalizadora, ayudará a guiar no solo a los responsables del tratamiento, sino que también a los titulares.
Publicación escrita por Constanza Pasarin | Asociada | Grupo az Tech