En primer lugar, cabe mencionar que la Ley N° 29733, Ley de Protección de Datos Personales (LPDP), y su Reglamento, no contemplan de manera específica regulación sobre el uso de cookies.

Pero, qué son las Cookies[1] y qué relación tiene con el tratamiento de datos personales. Las cookies son datos o unidades de información enviadas desde un sitio web y que se almacena en el navegador del usuario, con el fin de poder analizar los hábitos de navegación de éste. Es en ese momento, cuando las cookies entran en relación con el tratamiento de datos personales, al almacenar credenciales de identificación del usuario.

Ahora bien, corresponde indicar que si bien la LPDP y su Reglamento no contemplan de manera específica regulación sobre uso de cookies, sí regulan el tratamiento de datos personales y su consentimiento.

Entonces, la LPDP y su Reglamento, ¿cómo protegen al titular de los datos personales (usuario), de las cookies impuestas por el proveedor del sitio web, y a su vez, debe considerarse un consentimiento válido el aceptar el muro de cookies o el hacer scroll en la web, como aceptación al tratamiento de datos personales?

A fin de continuar con el análisis es importante mencionar lo siguiente:

· El Comité Europeo de Protección de Datos (CEPD) ha publicado el 7 de mayo de 2020, la Guía sobre el consentimiento bajo la regulación del Reglamento (UE) 2016/679[2], el cual regula el consentimiento de los usuarios al uso de cookies.

En dicha Guía se menciona varios puntos importantes respecto al consentimiento de Cookies, entre ellos:

– Elemento “Libre” elección: Como regla general, el Reglamento menciona que si el interesado no tiene una opción real, se siente obligado a consentir o sufrirá consecuencias negativas si no lo consiente (haciendo referencia a las cookies), entonces el consentimiento no será válido. En consecuencia, el CEPD sostiene que el consentimiento no se considerará libre si el interesado no puede rechazar o retirar su consentimiento sin perjuicio.[3]

– En términos generales, cualquier elemento de presión o influencia inapropiada sobre el interesado que impida ejercer su libre albedrío, invalidará el consentimiento.[4]

– Para que el consentimiento se otorgue libremente, el acceso a los servicios y funcionalidades (es decir, al contenido de la página web) no debe estar condicionado al consentimiento del usuario para el almacenamiento de información, o para obtener acceso a la información ya almacenada.[5]

– No se considerará consentimiento valido cuando no hay posibilidad de acceder al contenido sin hacer clic en el botón “Aceptar cookies”. Ejemplo: Los casos en que el proveedor del sitio web implemente un script que bloquee la visibilidad del contenido, excepto por una solicitud de aceptar cookies. Dado que el interesado no presenta una opción de consentimiento genuino, su consentimiento no deberá ser considerado “libre”.[6]

– El CEPD, menciona que las acciones como desplazarse (scrolling) o deslizarse (swiping) por una página web o actividad similar del usuario no deberá considerarse en ningún caso como requisito de una acción clara y afirmativa. Estas acciones son ambiguas, por lo que no corresponde considerarlas como consentimiento válido.[7]

– En consecuencia, los elementos de un consentimiento válido según la Guía, respecto al uso de Cookies, son la manifestación de voluntad libre, específica, informada e inequívoca de aceptar el tratamiento de datos personales.

Finalmente, la Guía menciona que si bien el Reglamento prescribe que una “declaración o acción afirmativa clara” es un requisito previo para el consentimiento válido en la aceptación de uso de cookies, considerando que el consentimiento regulado en el Reglamento, ya se ha elevado a un estándar más alto en comparación con el requisito de consentimiento de la Directiva 95/46/CE , deberá considerarse en adelante las nuevas directrices de la Guía para el tratamiento de aceptación de datos personales.

En ese sentido, La Agencia Española de Protección de Datos (AEPD) ha actualizado la Guía sobre el uso de las “cookies” para adaptarla a las Directrices 05/2020, sobre consentimiento de los usuarios al uso de cookies, publicado por el Comité Europeo de Protección de Datos (CEPD).

Ahora bien, continuando con el análisis, sobre la base de la regulación nacional, la Ley menciona que “El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados”[8]. Es decir, el proveedor del sitio web que utilice cookies, deberá informar al usuario sobre ello, a fin de que sea éste quien otorgue autorización previa para el almacenamiento de sus datos personales.

Supongamos que el aceptar el muro de cookies, en el cual se encuentra la información de tratamiento de datos personales, o el hacer scroll, sea considerado como consentimiento válido del usuario, pues está aceptando la política de cookies que impone la página web, pero es realmente esa la voluntad del usuario al ingresar a la página web.

La mayoría de las páginas web son de libre acceso, sin ningún tipo de restricción, por lo cual su contenido también lo es. A manera de ejemplo, cabe preguntarse, es válido el uso del tratamiento de datos personales de un usuario, cuando éste no es quien realmente ha prestado dicho consentimiento, considerando que un usuario puede hacer uso de un dispositivo ajeno para ingresar a algún navegador de su interés.

Considerando, que una de las características del consentimiento regulado en el artículo 12° del Reglamento de la LPDP, es el consentimiento “libre”[9]; el aceptar el muro de cookies o el hacer scroll, no debe ser considerado como consentimiento válido, pues existe un grado de obligatoriedad impuesta por el proveedor del sitio web para que el usuario consienta o acepte la política de cookies, vulnerando e infringiendo el consentimiento libre, regulado en el Reglamento de la LPDP[10].

“Al acceder a la página web, el usuario deberá tener la posibilidad, a través de algún botón, mando, herramienta o alguna otra forma inequívoca, de aceptar, rechazar o configurar la política de cookies”.

[1] De acuerdo a la Real Academia Española “Las cookies son pequeños ficheros que se instalan en el disco duro o en el navegador del ordenador, tableta, teléfono inteligente o dispositivo equivalente con funciones de navegación a través de Internet y ayudan, entre otras cosas, a personalizar los servicios del titular de la web, facilitar la navegación y usabilidad a través de ella, obtener información agregada de los visitantes de la web, posibilitar la reproducción y visualización de contenido multimedia en la propia web, permitir elementos de interactuación entre el usuario y la web o habilitar herramientas de seguridad”.

[2] EUROPEAN DATA PROTECCION BOARD, GUIDELINES 05/2020 ON CONSENT UNDER REGULATION 2016/679, on 4 may 2020.

[3] Idem. Recital 13. Pg. 7.

[4] Idem. Recital 14. Pg. 7.

[5] Idem. Recital 39. Pg. 12.

[6] Idem. Recital 40. Pg. 12.

[7] Idem. Recital 86. Pg. 19.

[8] Ley N° 29733, Ley de Protección de Datos Personales. 21 de Junio de 2011. Artículo 18°.

[9] Reglamento de la Ley Nº 29733, Ley de Protección de Datos Personales, Decreto Supremo Nº 003–2013-JUS, artículo 12.1°, “Libre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular de los datos personales. La entrega de obsequios o el otorgamiento de beneficios al titular de los datos personales con ocasión de su consentimiento no afectan la condición de libertad que tiene para otorgarlo, salvo en el caso de menores de edad, en los supuestos en que se admite su consentimiento, en que no se considerará libre el consentimiento otorgado mediando obsequios o beneficios. El condicionamiento de la prestación de un servicio, o la advertencia o amenaza de denegar el acceso a beneficios o servicios que normalmente son de acceso no restringido, sí afecta la libertad de quien otorga consentimiento para el tratamiento de sus datos personales, si los datos solicitados no son indispensables para la prestación de los beneficios o servicios”.

[10] Reglamento de la Ley Nº 29733, Ley de Protección de Datos Personales, Decreto Supremo Nº 003–2013-JUS, artículo 11°: “El tratamiento de los datos personales es lícito cuando el titular del dato personal hubiere prestado su consentimiento libre, previo, expreso, informado e inequívoco. No se admiten fórmulas de consentimiento en las que éste no sea expresado de forma directa, como aquellas en las que se requiere presumir, o asumir la existencia de una voluntad que no ha sido expresa”.