La absurda "Ley de Cookies"
Desde hace unos días, y en parte gracias al revuelo que un post sobre la denuncia que un cliente del abogado especializado en asuntos telemáticos Pablo Burgueño ha recibido desde la Agencia de Protección de Datos en relación al uso de cookies en su web, se está hablando largo y tendido en todos los rincones de la red sobre como adaptarse a esta nueva normativa. Es realmente recomendable leerse completo este post puesto que, a mi juicio, es donde mejor se detalla lo que implica exactamente la nueva redacción de la "Ley de Cookies".
Lo cierto es que no es una normativa en sí misma ni es nueva. Es, en realidad, un artículo de la infame Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (también conocida como LSSI y CE, Ley 34/2002, de 11 de julio), necesitada de una adaptación para trasladar una directiva europea (sobre el tratamiento de datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas, la 2009/136/CE). Hasta el pasado 1 de Abril de 2012, el artículo 22.2 de esta ley rezaba de esta manera:
Artículo 22.2 LSSI párrafo 1º [DEROGADO] «Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito».
Es decir, se podía informar al usuario mediante un pop-up, un baner o cualquier otro medio evidente, de que se estaban usando cookies para monitorizar su visita (saber por donde navega, saber si ya lo ha hecho otras veces, saber si es cliente nuevo o ya tiene cuenta... cosas habituales en cualquier website dinamico que se adapte a los visitantes, como por ejemplo las tiendas online o la prensa diaria)
Pero desde el 1 de abril de 2012 se piden dos cosas: 1º información + 2º consentimiento = instalación
Artículo 22.2 párrafo 1º LSSI [VIGENTE]: «Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal».
Esta nueva redacción introduce un concepto aparentemente inocuo... pero mortal de necesidad en este momento, en el que ya hay en la red miles de millones de websites: el hecho de que el consentimiento debe hacerse ANTES de que cualquier cookie sea descargada al pc del visitante.
Pero ¿Que es una cookie?
Bueno, en realidad no son galletitas, tal como sugiere la traducción literal. Pero casi ;)
Son pequeños archivos de texto que se descargan o se crean en el equipo del visitante del website, y que contienen información sobre su visita (NUNCA sobre su identidad, sobre datos personales o contraseñas ni números de tarjetas de crédito ni ningún tipo de dato similar). Estos datos son, por ejemplo, el nombre de usuario con el que un visitante se registra en una web, el hecho de si está o no registrado, la hora en la que accede, las páginas que visita, los baners que está viendo, etc.
Por descontado, no son virus, ni dañinos scripts, ni troyanos ni ningún tipo de ataque. Son simples datos que el navegador almacena en una carpeta concreta del equipo del visitante para no hacerle, por ejemplo, visitar dos veces un link determinado, para mostrarle solo las noticias que le interesan desde la última vez que visitó el web o servicios similares. Es, en términos weberos, lo mismo que cuando el carnicero de la esquina nos llama por nuestro nombre cada vez que vamos a por uno de sus suculentos filetes o cuando el kiosquero nos comenta lo último de la tarde porque sabe que hemos ido por la mañana a por una revista y ya nos informó entonces de lo más calentito del día.
Eso son las cookies.
¿Porqué entonces tanto lío?
Básicamente, por joder. Si, lo siento. Siento de veras el exabrupto, pero esa es la realidad. Lo cierto es que tenemos una Agencia de Protección de Datos (y un gobierno, más un parlamento europeo) que, para justificar sus generosos sueldos, asignaciones y edificios... algo tiene que hacer. Aunque la idea de proteger los datos privados de los ciudadanos puede parecer loable (lo es) ante determinados atropellos como el hecho de que se hagan públicos asuntos como la orientación sexual, la filiación sindical, el historial médico o la fé de cada uno, eso es llevado hasta extremos absurdos como este. Se pretende así que el ciudadano, más que protegido, esté encerrado en una jaula de cristal creada por el Estado, privándole de todo raciocinio.
En este punto, hay que decir alto y claro, que ya desde los inicios de la era de internet, todos los navegadores tienen un botoncito para evitar que se descarguen cookies en el ordenador del usuario. Pero como el estado piensa que somos tontos, se ha tomado la libertad de pensar por nosotros. Un ciudadano que no está acostumbrado a pensar es un ciudadano modélico para un estado omnipresente.
En fin.
¿Que debo hacer entonces con mi web?
La nueva redacción del artículo 22.2 en su párrafo primero lo indica claramente: Requerir del usuario, por acción u omisión, el consentimiento expreso para que se puedan descargar cookies a su ordenador, tablet o móvil. Y todo ello ANTES de que se descarguen. Es decir, no vale con avisar de que se hace, tal como se hacía hasta ahora, sino que es el visitante el que tiene que, expresamente, permitirlo. Y sólo entonces, el webiste puede empezar a funcionar con normalidad
¿Y tienen que cumplirlo todas las webs?
Si, con la excepción de aquellas que no tienen un fin de lucro evidente (los blogs personales, por ejemplo) y, como no, las de la Administración. La Casta puede hacer lo que le dé la puñetera gana porque la ley no vá con ellos.
También se permite instalar un tipo de cookie muy determinada y solo en casos concretos. Para más info, puedes descargarte el ligero folleto de 26 páginas que la APD ha creado para informar al españolito de a pié sobre este despropósito. Ojo, las multas pueden ser de hasta 150.000 euros en el caso de infracciones graves y 30.000 en el caso de las leves. Al fin y al cabo, meter cookies en tu pc debe ser tan malévolo como meter dinero negro en sobres (¿a que me suena a mí esto?).
¿Y que debo hacer?
Lo que yo recomiendo es exiliarse a un pais bananero en el que el gobierno no le tome el pelo a los ciudadanos. Pero como vamos a suponer que no es fácil ni deseable para la mayoría, lo que debemos hacer antes de nada es consultar a un experto, para que haga una auditoría de nuestro website. Claro que también podemos hacer "la prueba del algodón" y ver por nosotros mismos si, visitando nuestra web, se descargan cookies. Para ello, busca información en google sobre el navegador que usas (Internet Explorer, Chrome, Firefox...) y accede al menú donde te las muestra. En firefox, por ejemplo, debes ir al menu´"Herramientas", seleccionando "Ver información de la página" y en la pestaña "Seguridad" puedes hacer click en "Ver cookies".
Lo ideal es hacer esto habiendo borrado previamente TODOS los datos de navegación en tu navegador, para poder ver solo las que a partir del borrado se descargan desde tu website (puedes llegar a tener varios miles de cookies en tu equipo, aunque la mayoría de ellas se autodestruyen a los pocos segundos de dejar de visitar una web)
Si tu página descarga cookies, no te alarmes, es normal. Pero estás inclumpliendo la ley, probablemente.
Por ahora, y a pesar de los numerosos inventos que están apareciendo por la red para retrasar, borrar o avisar de las cookies que instalas, la única opción que cumple al 100% con esta delirante normativa es crear una página de bienvenida en tu website en HTML simple avisando de que para visitarlo hace falta que el usuario consienta en descargar cookies (¿te imaginas teniendo que darle permiso escrito al kiosquero para que pueda darte los buenos días llamándote por tu nombre?). Esto puede hacerse por acción (pulsando un botón) o por omisión (esperando unos segundos y si el usuario no hace nada, se entiende que consiente).
Tienes toda la información necesaria en estos vínculos:
http://noticias.juridicas.com/base_datos/Admin/l34-2002.html
http://www.minetur.gob.es/telecomunicaciones/lssi/Paginas/Index.aspx
http://es.wikipedia.org/wiki/Ley_de_Servicios_de_la_Sociedad_de_Informaci%C3%B3n_de_Espa%C3%B1a
http://www.pabloburgueno.com/2013/08/sancion-por-incumplir-la-ley-de-cookies/
http://www.elderecho.com/www-elderecho-com/Ley-cookies-realmente-necesaria_11_556555002.html
http://www.clipmedia.net/ficheros/2013/09_sep/dv259.pdf
Bonus Track
... o canción de la cara-B que venía gratis en los LPs de los 80 ;)
Facebook, Twitter, Instagram, Pinterest, Google+.... son compañías extranjeras. Dado que lo son, no están obligadas a cumplir la legislación española (no exactamente, pero abreviemos). Por descontado, no cumplen la LSSI en su artículo 22, relativo al consentimiento previo a la instalación de cookies.
Bueno, es normal. Al fin y al cabo, no tienen porqué andar perdiendo el tiempo con todas las chorradas que se le pueden llegar a ocurrir a nuestros legisladores (municipales, diputacionales, autonómicos, nacionales y europeos, que será no tenerlos!!!).
Peeeeeeeeeeeeeeeeeeeeeeeero.
Si tu empresa tiene un perfil corporativo en alguno de estos servicios que no cumplen la "ley de cookies", como por ejemplo una página en Facebook, tu empresa no cumple la ley de cookies y puede ser multada igualmente.
Delirante, si. Pero cierto. Expañistán en estado puro.
Atribuciones: Las fotografías usadas en esta publicación pertenecen a sus autores. Por orden de aparición:
Foto "Galletitas": Autor Jaro Larnos, via Photopin. Licencia Creative Commons 2.0
Foto "Kiosquero malvado": Autor Ale Peralta Kulik, via Photopin. Licencia Creative Commons 2.0
NOTA: Este artículo fué publicado originalmente en el website de la Asociación de Emprendedores de Galicia, como colaboración