• INICIO
• INFORMACION
  • LA UNIVERSIDAD DE MURCIA
  • ESTUDIOS Y FORMACIÓN
  • FACULTADES Y ESCUELAS
  • ESTRUCTURA ORGANIZATIVA
  • INVESTIGACIÓN
• UTILIDADES Y SERVICIOS
  • BIBLIOTECA
  • TABLÓN DE ANUNCIOS
  • DUMBO
  • MATILDE
  • SABIO
  • CAMPUS VIRTUAL
  • CORREO WEB Y AGENDA
• ACTUALIDAD
  • HOY EN LA PRENSA
  • AGENDA DE ACTIVIDADES
  • NOVEDADES EN UM.ES
• AYUDA
  • MAPA WEB
  • CONSULTAS
  • RECLAMACIONES Y SUGERENCIAS
  • DIRECTORIO
  • BUSCADOR
• PERFIL
  • ALUMNOS
  • PDI
  • PAS
  • INFOSECUNDARIA

CONTENIDO

• Investigación
• Docencia
• Profesorado
• Actividades
• Boletín de Actualidad Administrativa
• Noticias sobre administración pública
• Internet, Administración Pública y Derecho Administrativo
• Régimen jurídico de la información administrativa ante el progreso tecnológico
• Publicaciones
• Enlaces de Interés

Publicaciones del Departamento

El uso de las cookies por las Administraciones Públicas: una interpretación a partir de la normativa española sobre protección de los datos personales

Comunicación presentada al IX Congreso Iberoamericano de Informática y Derecho

1.- Un presupuesto previo: la naturaleza jurídica de las cookies

El progresivo desarrollo de la sociedad de la información y la generalización en el uso de los instrumentos que permiten acceder a los numerosos servicios que ofrece están evidenciando algunos problemas jurídicos de gran alcance. De un lado resulta necesario reclamar una mayor adaptación a la evolución tecnológica de amplios sectores del ordenamiento jurídico anclados en una visión de la realidad socio-económica excesivamente tradicional, desfase que obliga en ocasiones a formular retorcidas interpretaciones a fin de evitar que el vacío normativo. Este mismo problema se plantea incluso cuando existe una regulación específica del fenómeno tecnológico por cuanto, a pesar de la diligencia de los poderes públicos, las normas referentes a estas cuestiones corren el riesgo de quedar rápidamente desfasadas cuando no han sido formuladas en términos suficientemente amplios.

Ahora bien, precisamente como consecuencia de la generalidad característica de las normas jurídicas puede dificultarse la operación interpretativa previa a su aplicación, esto es, determinar si los hechos de la realidad pueden subsumirse en el supuesto fáctico previsto normativamente. En estos casos el papel de jurista consiste en determinar si el ámbito de aplicación de la regulación incluye o no al fenómeno novedoso, presupuesto que, una vez aclarado, permitirá concluir su sujeción a la normativa analizada. Éste es precisamente el problema jurídico que plantea el uso de las cookies en el diseño de las páginas web y, por lo que afecta al objeto de esta comunicación, de aquéllas pertenecientes a las Administraciones Públicas. En concreto, se trata de precisar si nos encontramos ante un mecanismo que implica el tratamiento de los datos personales y, en consecuencia, resulta de aplicación la normativa protectora del citado derecho fundamental, en el caso español la Directiva 95/46 CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y al libre circulación de estos datos, y, en especial, la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en adelante LOPDP.

Planteada en estos términos la cuestión, debemos comenzar señalando que se trata de una problemática que está siendo objeto de un intenso debate en las instancias europeas con ocasión de la actualización de la Directiva antes referida. Más allá de planteamientos doctrinales de lege ferenda a través de los cuales orientar las futuras reformas, resulta imprescindible precisar los supuestos y condiciones en que resultaría admisible el uso de las cookies y, en concreto, su utilización por las Administraciones Públicas dadas las peculiaridades del régimen jurídico a que estas últimas se encuentran sometidas por lo que se refiere a la protección de los datos de carácter personal.

As pues, es necesario deslindar los supuestos en que la utilización de las cookies puede considerarse que conlleva un tratamiento de datos personales de aquéllos otros en que, por no existir tal consecuencia, no se encuentran dentro del ámbito de aplicación de las normas antes referidas. En primer lugar, debe recordarse que el art. 2 LOPDP extiende su aplicación "a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos". Desde un punto de vista objetivo, no hay duda alguna de que el mecanismo de funcionamiento de la cookie nos conduciría a considerar que nos encontramos ante un supuesto que entra de lleno en el ámbito de aplicación de la normativa sobre protección de datos personales en la medida que implica un tratamiento de los mismos, esto es, conlleva la realización de "operaciones y procedimientos técnicos" que permiten su "recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias" (art. 3 LOPDP).

Por el contrario, esta conclusión no resulta tan evidente si atendemos a la versatilidad de las cookies desde una consideración subjetiva, es decir, teniendo en cuenta la eventual conexión de la información que proporcionan con el titular de los datos. Tal y como han destacado con acierto Grimalt y Payeras, la identificación actual o eventual que exige el art. 3 LOPDP no se dará ni en las denominadas cookies anónimas ni en aquéllas que contengan a datos aleatorios a partir de los cuales no fuera posible determinar quién es el usuario, por lo que nos encontraríamos ante supuestos excluidos de la regulación protectora de los datos personales. Ahora bien, la configuración técnica de las cookies, en la medida que no permite al internauta determinar exactamente qué tipo de datos se están recogiendo, constituye un elemento diferenciador de gran relevancia por cuanto, a diferencia de los sistemas convencionales, impide que aquél conozca la naturaleza de la información solicitada y decida proporcionarla o denegarla en función de la valoración que realice sobre el alcance que pueda tener en su intimidad.

Esta circunstancia implica un riesgo adicional en el caso de las páginas web de titularidad pública por cuanto, a tenor de lo dispuesto en el art. 6.2 LOPDP, no resultará preciso el consentimiento en la recogida de los datos personales cuando lo sea "para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias", previsión que podría amparar la recogida de datos mediante cookies sin necesidad de consentimiento. La cuestión a plantearse en esta caso sería, ¿necesitan las Administraciones Públicas recurrir a las cookies que permitan la identificación del titular de los datos para el ejercicio de sus funciones? 

2.- Las condiciones para el uso de las cookies por parte de las Administraciones Públicas

Una vez sentada la premisa de que sólo aquéllas cookies que permitan la identificación del usuario pueden considerarse sometidas al régimen jurídico protector de los datos de carácter personal, resulta preciso proyectar las singularidades de este instrumento sobre el régimen jurídico exorbitante que la LOPDP establece a favor de las Administraciones Públicas.

2.1. Deber de información al usuario

A tenor de lo dispuesto en el art. 5.1 LOPDP, los interesados a quienes se soliciten datos personales deben ser informados de modo expreso, preciso e inequívoco de una serie de extremos relativos al tratamiento futuro de los mismos, al carácter obligatorio o facultativo de su respuesta, así como al ejercicio de ciertos derechos instrumentales. En principio, a no ser que los datos que proporciona la cookie hayan sido suministrados por un tercero, la recogida se realiza directamente del equipo del usuario, por lo resultaría de aplicación lo dispuesto en el precepto transcrito y no las previsiones del apartado 4 relativas al supuesto en "que los datos no hayan sido recabados del interesado".

Con anterioridad a la STC 292/2000, de 20 de noviembre, el art. 24.1 LOPDP permitía que las Administraciones Públicas se eximieran de esta obligación cuando "la información al afectado impida o dificulte el cumplimiento de las funciones de control y verificación" propias de aquéllas, excepción que difícilmente podía aplicarse al caso de las cookies en la medida que la información al usuario puede realizarse automáticamente por el servidor que las solicita sin interferencia de dicha función. Tras la referida decisión constitucional este discutible amparo legal en que podía ampararse la Administración Pública para negar la información requerida por el art. 5 LOPDP ha desaparecido, por lo que necesariamente debe advertirse al usuario de las cuestiones allí previstas, a no ser que dicha actuación "afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales o administrativas" (art. 24.1 LOPDP), alcance difícilmente predicable en relación a las cookies.

En definitiva, cuando el empleo de las cookies por parte de las Administraciones Públicas implique la solicitud de datos de carácter personal deberá advertirse tal circunstancia de manera expresa, precisa e inequívoca, bien con carácter general en un lugar visible de la página web que se visita, bien concretamente cada vez que se solicita la creación de la cookie. Así pues, el diseño actual de los diversos campos de la cookie que se muestra al usuario cuando éste configure el navegador para que formule una advertencia antes de autorizar su envío no puede considerarse suficiente para satisfacer esta exigencia informativa, dado que carece de los medios necesarios para comprender el significado de la información que recibe.

2.2. Deber de solicitar el consentimiento del titular de los datos para su recogida y para su cesión entre distintas Administraciones Públicas

Como complemento del deber de información que se acaba de analizar, el art. 6.1 LOPDP requiere el consentimiento inequívoco del titular de los datos autorizando su tratamiento, precisando el art. 3.h) de la misma Ley que dicho consentimiento ha de consistir en una "manifestación de voluntad libre, inequívoca, específica e informada". No obstante, en el art. 6.2 excluye de esta exigencia a las Administraciones Públicas cuando los datos se recojan para el ejercicio de sus funciones propias en el ámbito de sus competencias, así como cuando se refieran a las partes de una relación administrativa y fueran necesarios para su mantenimiento o cumplimiento.

Partiendo del presupuesto de que las cookies empleadas por la Administración Pública impliquen el tratamiento de datos personales, sólo se puede prescindir del consentimiento del interesado en los supuestos antes referidos, por lo que debemos plantearnos el alcance de las excepciones transcritas en relación a las cookies. A este respecto, es preciso tener en cuenta que, al margen de tratamientos estadísticos, su empleo en el ámbito administrativo sólo se justifica por el ofrecimiento al usuario de un servicio personalizado, más ágil y ajustado a sus preferencias, puesto que debe rechazarse que las Administraciones Públicas estén habilitadas para recopilar datos personales con fines publicitarios. En definitiva, no parece que estas funcionalidades de las cookies puedan justificar que sean necesarias para que las entidades públicas ejerzan sus funciones propias en el ámbito de sus competencias o, en su caso, para el mantenimiento y cumplimiento de una relación jurídica, por lo que debe concluirse la necesidad de requerir el consentimiento de los usuarios para el tratamiento de los datos afectados.

La misma conclusión debe extenderse a la cesión de datos personales entre Administraciones Públicas diversas cuando hayan sido obtenidos a través de las cookies. En estos supuestos, a tenor de la regulación de los arts. 11.2 y 21.1 LOPDP, estos datos sólo pueden cederse a otra entidad pública si así lo previera una norma con rango de Ley, cuando fuera necesario para el ejercicio de la misma competencia sobre la misma materia, cuando la comunicación viniera justificada por razones históricas, estadísticas o científicas o cuando tuviera como destinatarios al Ministerio Fiscal, a los Jueces o Tribunales, al Tribunal de Cuentas, al Defensor del Pueblo u organismos autonómicos equivalentes.

Ahora bien, la habilitación para la comunicación de los datos no justifica en modo alguno que la obtención inicial de los mismos se hubiera realizado al margen de las condiciones previstas legalmente. De conformidad con el razonamiento expuesto con anterioridad al respecto, en el caso de datos obtenidos por las Administraciones Públicas a través de cookies resulta imprescindible obtener el consentimiento del titular, y sólo bajo esta premisa estaría justificado que no fuera necesario obtener un nuevo consentimiento para proceder a su cesión. Además, según la interpretación mantenida en relación con la información que previamente a la solicitud de los datos debe ofrecerse al usuario, la entidad pública cesionaria de los mismos debería advertirle cuál es la finalidad de su recogida y el destinatario de la información obtenida a través de las cookies, circunstancias que han de estar previamente determinadas en la disposición de creación del fichero a tenor del art. 20.2 LOPDP.

Teniendo en cuenta las consecuencias que se acaban de obtener en relación con la necesidad del consentimiento en los supuestos en que así se requiera, podríamos preguntarnos acerca de la posibilidad de que la entidad pública titular de la página web pudiera negar el acceso a una parte de su contenido si no se acepta la correspondiente cookie. Al margen de los argumentos que se puedan ofrecer con carácter general con independencia de la naturaleza pública o privada del titular de la página web, en el caso de las Administraciones Públicas existe una prohibición expresa de que la utilización de técnicas informáticas, electrónicas y telemáticas conlleve "restricciones o discriminaciones de cualquier naturaleza en el acceso de los ciudadanos a la prestación de los servicios públicos o a cualquier actuación o procedimiento administrativo". Partiendo de esta exigencia, ha de concluirse que las Administraciones Públicas no pueden condicionar el acceso al contenido de sus páginas web en función de la previa aceptación de las cookies, debiendo facilitar su consulta íntegra con independencia del consentimiento del usuario. Así pues, la única consecuencia negativa que debería soportar consistiría en no poder beneficiarse de las ventajas que conllevaría una respuesta positiva a la petición del servidor que solicita el envío de la cookie.

3.- La adaptación del régimen jurídico de los ficheros de titularidad pública a la singularidad de las cookies

El tratamiento de los datos de carácter personal obtenidos a través de cookies por parte de las entidades públicas requiere además de un presupuesto previo siempre que se recogieran para ser incorporados a un fichero. En efecto, el art. 20 LOPDP prevé que "la creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el «Boletín Oficial del Estado» o Diario Oficial correspondiente".

Al margen de las cuestiones generales que plantea la interpretación de este precepto, algunas de sus previsiones presentan implicaciones de gran relevancia en relación con el tema que nos ocupa. En primer lugar, el apartado 2.a) del citado precepto exige que la disposición de creación precise cuál es la finalidad del fichero y los usos previstos para los datos que recoge, de manera que en el caso de ficheros relativos a cookies estas previsiones deberán ser compatibles con la información que las mismas pueden proporcionar. En consecuencia, no podría admitirse la incorporación de datos obtenidos por este medio a ficheros inicialmente configurados para fines y usos que no se pueden satisfacer mediante el uso de cookies.

En segundo lugar, el art. 20.2.b) LOPDP requiere que la citada disposición de creación del fichero especifique las personas o colectivos sobre los que se pretenda obtener datos de carácter personal. Teniendo en cuenta que, al margen de la obtención de información estadística, la utilización de las cookies se justifica para personalizar el servicio que se ofrece al usuario, finalidad que obliga a determinar a quién se solicitará el envío de las mismas. En efecto, si sólo resulta precisa la cookie para acceder a determinados contenidos u obtener cierta información o ventaja, no estaría justificado que se pidiera la autorización para crearla a cualquier internauta que visite la correspondiente página web. Además, en el caso de no respetarse esta exigencia se estaría además vulnerando la limitación antes comentada sobre la finalidad y el uso de los datos obtenidos mediante la cookie, ya que se estaría almacenando información innecesaria a la vista de las circunstancias que justificaron la creación del fichero y la determinación de su contenido.

Finalmente, el art. 20.2.c) LOPDP requiere que la disposición de creación del fichero concrete el procedimiento de recogida de los datos de carácter personal, determinación que presenta gran trascendencia en relación a las cookies debido a las singularidades técnicas de su funcionamiento. Precisamente, dada la especificidad de este instrumento, debe establecerse específicamente que los datos se solicitarán mediante una petición telemática que el servidor donde se aloje la página web de la correspondiente entidad pública dirigirá al usuario que la visita a fin de que le permita la incorporación de determinada información en su equipo con el fin de posteriormente poder acceder a la misma. Así pues, si no se encontrara expresamente previsto este sistema para la recopilación de los datos de carácter personal difícilmente podría entenderse que la Administración Pública titular de la página web visitada se encuentra habilitada para utilizar la cookie y, por extensión, la información así obtenida vulnerando lo dispuesto en la disposición de creación del fichero.

En definitiva, el contenido de la disposición creadora del fichero donde se incorporen los datos obtenidos a través de las cookies constituye un elemento de gran utilidad a la hora de controlar el uso indebido de este sistema por las Administraciones Públicas, impidiendo que tanto la recogida como el tratamiento de los datos se realicen vulnerando las determinaciones allí previstas.

4.- A modo de conclusión

Ante la constatación del uso generalizado de las cookies en las páginas web de las Administraciones Públicas y, dada la eventualidad de que impliquen el tratamiento de datos personales, debe resaltarse el pleno sometimiento al régimen jurídico dictado en aras a la protección de este derecho fundamental. En el caso de las cookies utilizadas por los servidores donde se alojan páginas web de titularidad pública no parece justificado que los datos puedan recabarse sin el consentimiento del titular en la medida que difícilmente puede considerarse que la información sea necesaria para el ejercicio de las funciones atribuidas a las Administraciones Públicas.

En el caso de que a través de las cookies se pretenda obtener información estadística no está justificado que la misma se asocie a datos de carácter personal, por lo que no resultaría de aplicación el régimen jurídico analizado y no sería preciso el consentimiento del usuario. Ahora bien, en la media que el funcionamiento de las cookies implica una entrada en el equipo informático de aquél convendría al menos que se advirtiera tal extremo, si bien el tratamiento posterior de los datos obtenidos no requeriría la prestación del consentimiento por parte del titular de los mismos cuando no pudiera ser identificado.

Al margen de la recopilación de información con fines estadísticos, mediante las cookies se pretende fundamentalmente ofrecer un servicio personalizado al usuario que ha de respetar el régimen jurídico previsto para la protección de los datos personales cuando la identidad del titular de la información recabada pueda ser conocida. En este supuesto ha de solicitarse el consentimiento libre, inequívoco, específico y, sobre todo, informado de aquél, sin que la Administración Pública correspondiente pueda ampararse en la excepción relativa al ejercicio de sus funciones en el ámbito de sus competencias por cuanto, lejos de constituir una utilidad para tal fin, las cookies se conciben realmente como una ventaja para el usuario. A no ser, claro está, que la información así recogida se destine a fines distintos de los que inicialmente justificaron la utilización de la cookie.

---

Universidad de Murcia: Avda. Teniente Flomesta, nº 5 - 30003 - Murcia
Teléfono: +34 868 883000 - Diseño y desarrollo: SIU