Cookies de análisis o medición: ¿se debe solicitar el consentimiento?

El 31 de octubre de 2020 finaliza el periodo transitorio de tres meses para implementar los criterios fijados por la Agencia Española de Protección de Datos (AEPD) en la actualización de su Guía sobre el uso de cookies, publicada el pasado 28 de julio y, seguramente, ha sido uno de los temas a tratar por los departamentos de marketing, legal y Delegados de Protección de Datos (DPO) de muchas empresas.

En esta publicación, trataremos el caso específico de las cookies de análisis o medición y la necesidad (o no) de obtener el consentimiento para su instalación.

Recordemos que este tipo de cookies permiten el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

Desde el año 2012, autoridades europeas y nacionales de protección de datos han venido reconociendo y regulando un criterio de exención del deber de obtener el consentimiento para el caso de las cookies analíticas o de medición, siempre que se limiten estrictamente a fines estadísticos agregados y de anonimización de origen.


Grupo de Trabajo de Artículo 29 (GT29):

El 7 de junio de 2012, el GT29 adoptó el Dictamen 4/2012 sobre la exención del requisito del consentimiento de cookies, en el que planteó la siguiente reflexión:

Análisis propios

Los análisis son instrumentos de medición estadística de audiencia de los sitios web que suelen basarse en cookies. Estos instrumentos son utilizados por los propietarios de sitios web para estimar el número de visitantes especiales, detectar las principales palabras clave de los motores de búsqueda que conducen a una página web o rastrear aspectos de la navegación en el sitio web Los instrumentos analíticos disponibles actualmente utilizan una serie de modelos de recogida y análisis de datos, cada uno de los cuales entraña unos riesgos diferentes para la protección de datos. Es evidente que un sistema analítico propio basado en cookies de origen entraña unos riesgos diferentes de los de un sistema de análisis de terceros basado en cookies de terceros. También existen instrumentos que utilizan cookies de origen mientras que el análisis lo realiza otra parte. Esta otra parte será considerada el responsable común o el procesador común de datos, según use los datos para sus propios fines o le esté prohibido hacerlo en virtud de acuerdos técnicos o contractuales.

Aunque este instrumento suele ser considerado «estrictamente necesario» para los operadores de sitios web, no es estrictamente necesario para prestar una funcionalidad explícitamente solicitada por el usuario (o abonado). De hecho, cuando estas cookies no están habilitadas, el usuario puede acceder a todas las funcionalidades que ofrece el sitio web. En consecuencia, estas cookies no disfrutan de la exención definida en los CRITERIOS A o B.

Sin embargo, el Grupo de trabajo considera que no es probable que los cookies para análisis propios supongan un riesgo para la privacidad en el caso de que se limiten estrictamente a fines estadísticos agregados propios y de que sean utilizados por sitios web que ya ofrecen información clara sobre estos cookies conforme a su política de privacidad, así como garantías adecuadas de privacidad. Estas garantías deberían incluir un mecanismo de fácil utilización para no participar en los mecanismos de recogida de datos y anonimización global que se apliquen y optar a otras informaciones recopiladas identificables como las direcciones IP.

A este respecto, si el artículo 5, apartado 3, de la Directiva 2002/58/CE se revisara en el futuro, el legislador europeo podría añadir un tercer criterio de exención del consentimiento para cookies que se limiten estrictamente a fines estadísticos agregados y de anonimización de origen.

Hay que distinguir claramente entre los análisis propios y los análisis de terceros, que utilizan un cookie de terceros común para recoger datos de navegación de los usuarios a través de diferentes sitios web y suponen un riesgo notablemente más elevado para la privacidad.”

GT29: Dictamen 4/2012 sobre la exención del requisito del consentimiento de cookies

Autoridad Francesa de Protección de Datos (CNIL)

El 5 de diciembre de 2013, la CNIL adoptó sus primeras directrices sobre el uso de cookies (Délibération n° 2013-378), que desarrollaban e interpretaban el Art. 82 de la Loi Informatique et Libertés transpose en droit français por el que se transpuso al ordenamiento jurídico francés el Art. 5.3 de la Directiva ePrivacy, y en cuyo Art. 6 se regulaba el uso de cookies analíticas exentas de la obligación de obtener el consentimiento:

Artículo 6: En el caso específico de las cookies de medición de audiencia.

Un editor necesita medir la audiencia de su sitio web o aplicación. Con frecuencia se utilizan cookies para este fin y estos dispositivos pueden, en ciertos casos, ser estrictamente necesarios para el servicio solicitado por el usuario y, por lo tanto, quedar exentos de la obtención del consentimiento. En efecto, las estadísticas de frecuentación permiten a los editores detectar problemas de navegación en su sitio o aplicación u organizar determinados contenidos.

Por consiguiente, el Comité recomienda que, para beneficiarse de esta exención del requisito de obtener el consentimiento, dicho procesamiento debe cumplir las siguientes condiciones:

– la persona debe ser informada;

– debe tener la posibilidad de oponerse a ella mediante un mecanismo de oposición que pueda utilizarse fácilmente en todas las terminales, sistemas operativos, aplicaciones y navegadores de Internet. No se debe recopilar ninguna información relativa a las personas que han decidido ejercer su derecho a objetar y transmitirla al editor del instrumento de análisis del tráfico;

– la finalidad del dispositivo debe limitarse a la medición de la audiencia del contenido visualizado para permitir una evaluación del contenido publicado y la ergonomía del sitio o la aplicación. Los datos reunidos no deben cotejarse con otros procesamientos de datos (archivos de clientes o estadísticas de visitas a otros sitios, por ejemplo). El uso de la cookie depositada también debe limitarse estrictamente a la producción de estadísticas anónimas. Su alcance debe limitarse a un solo editor y no debe permitir el seguimiento de la navegación de la persona utilizando diferentes aplicaciones o navegando en diferentes sitios web;

– el uso de la dirección IP para geolocalizar al usuario de Internet no debe proporcionar información más precisa que la ciudad. Esta dirección IP también debe ser eliminada o anonimizada una vez que la geolocalización se haya llevado a cabo, para evitar cualquier otro uso de estos datos personales o cualquier cruce con otra información personal;

– En cuanto a las cookies, no deben tener una duración superior a trece meses y esta duración no debe ser extendida automáticamente en nuevas visitas. La información recogida a través de las cookies debe mantenerse durante un máximo de trece meses.”

CNIL: Délibération n° 2013-378

En 2014, la CNIL reconoció que determinadas soluciones de cookies analíticas estaban exentas de recabar el consentimiento, en la medida en que daban cumplimiento a los requisitos establecidos en el Art. 6 de la Délibération n° 2013-378, en particular:

Si bien algunos de los enlaces a la página web de la CNIL en la que se profundizaba con mayor detalle este asunto ya no están disponibles, aún podemos encontrar referencias a los mismos en su perfil oficial de Twitter:

URL: https://twitter.com/CNIL/status/519860185247252481

El 4 de julio de 2019 la CNIL adoptó la Délibération n° 2019-093, con el objetivo de actualizar sus directrices sobre el uso de cookies al RGPD, y en cuyo Art. 5 seguía regulando el uso de cookies analíticas exentas de la obligación de obtener el consentimiento:

Artículo 5: En el caso específico de los trazadores de medición de audiencia.

Es posible que un editor tenga que medir la audiencia de su sitio web o de su aplicación, o probar diferentes versiones para optimizar sus opciones editoriales en función de sus respectivas prestaciones. Los rastreadores se utilizan frecuentemente con este fin y estos dispositivos pueden, en algunos casos, considerarse necesarios para la prestación del servicio explícitamente solicitado por el usuario, sin que sean particularmente intrusivos para ellos, y por lo tanto quedar exentos del requisito de consentimiento. Por ejemplo, las estadísticas de tráfico y las pruebas destinadas a medir el rendimiento relativo de las diferentes versiones de un mismo sitio web (conocidas comúnmente como «pruebas A/B») permiten a los editores detectar problemas de navegación en su sitio o aplicación u organizar el contenido.

Por consiguiente, la Comisión considera que las operaciones de procesamiento que cumplan las siguientes condiciones pueden beneficiarse de esta exención del requisito de obtener el consentimiento:

– deben ser realizadas por el editor del sitio o su subcontratista;

– el individuo debe ser informado antes de su aplicación;

– la persona debe tener la posibilidad de oponerse a ella mediante un mecanismo de oposición que pueda utilizarse fácilmente en todas las terminales, sistemas operativos, aplicaciones y navegadores de Internet. No debe realizarse ninguna operación de lectura o escritura en la terminal a la que la persona se haya opuesto;

– la finalidad del dispositivo debe limitarse a:

i) la medición de la audiencia del contenido visualizado para permitir la evaluación del contenido publicado y la ergonomía del sitio o la aplicación,

ii) la segmentación de la audiencia del sitio web en cohortes para evaluar la eficacia de las opciones editoriales, sin que ello dé lugar a que se dirija a una sola persona y

iii) la modificación dinámica de un sitio de manera global. Los datos personales recopilados no deben ser cotejados con otros procesamientos (por ejemplo, archivos de clientes o estadísticas de visitas a otros sitios) ni transmitidos a terceros. El uso de rastreadores también debe limitarse estrictamente a la producción de estadísticas anónimas. Su alcance debe limitarse a un solo sitio o editor de aplicaciones móviles y no debe permitir el seguimiento de la navegación de la persona que utiliza diferentes aplicaciones o que navega en diferentes sitios web;

– el uso de la dirección IP para geolocalizar al usuario de Internet no debe proporcionar información más precisa que la ciudad. La dirección IP recogida también debe ser eliminada o anonimizada una vez que se haya realizado la geolocalización;

– los rastreadores utilizados para dicho procesamiento no deben tener una vida útil superior a los trece meses y esta vida útil no debe extenderse automáticamente en nuevas visitas. La información recogida mediante los trazadores debe conservarse durante un máximo de 25 meses.”

CNIL: Délibération n° 2019-093

El 19 de junio de 2020, el Consejo de Estado Francés emitió la resolución nº 434684 por la que confirmó la legalidad del Art. 5 de la Délibération n° 2019-093, después de que varias asociaciones profesionales -entre las que se encontraba IAB France, filial de IAB Europe- hubieran solicitado al Consejo de Estado la anulación de las directrices de la CNIL:

16. En segundo lugar, de las disposiciones mencionadas del artículo 82 de la Ley de 6 de enero de 1978 se desprende que las operaciones de lectura o escritura de la información almacenada en el terminal de un usuario que sean estrictamente necesarias para el funcionamiento técnico del sitio o que correspondan a la prestación de un servicio de comunicación en línea a petición expresa del usuario están exentas de la obtención del consentimiento. De los documentos del expediente se desprende que la CNIL, en el artículo 5 de la decisión impugnada, enumeró las condiciones que deben cumplir los trazadores de medición de audiencia para beneficiarse de esa exención de la obligación de obtener el consentimiento, indicando, en particular, que los trazadores utilizados en ese tratamiento, que corresponden a una de las dos categorías mencionadas en ese mismo artículo 82, no deben tener una duración superior a 13 meses y que la información recogida por medio de esos trazadores no debe conservarse durante más de 25 meses. Al definir esas duraciones indicativas para el uso de los trazadores y para la conservación de la información recogida a través de ellos, la CNIL, que no podía fijar legalmente un plazo de validez de las cookies de medición de la audiencia, se limitó a recomendar, mediante directrices no vinculantes, duraciones para el uso de esas cookies de tal naturaleza que permitieran reexaminar periódicamente su necesidad a la luz de las derogaciones de la regla del consentimiento previstas en los dos últimos párrafos del artículo 82. De ello se desprende que, contrariamente a lo que se afirma, la decisión impugnada no está viciada de ilegalidad en ese punto.

Consejo de Estado: resolución nº 434684

El pasado 1 de octubre de 2020, la CNIL anunció la aprobación de unas nuevas directrices sobre el uso de cookies (Délibération n° 2020-091), en cuyo Art. 5 sigue regulando el uso de cookies analíticas exentas de la obligación de obtener el consentimiento:

Caso específico de los trazadores de medición de audiencia

La gestión de un sitio web o de una aplicación requiere casi sistemáticamente el uso de estadísticas de tráfico y/o de rendimiento. Estas medidas son en muchos casos esenciales para el buen funcionamiento del sitio o la aplicación y, por consiguiente, para la prestación del servicio. Por consiguiente, la Comisión considera que los trazadores cuya finalidad se limita a medir la audiencia del sitio o de la aplicación, con el fin de responder a diferentes necesidades (medición del rendimiento, detección de problemas de navegación, optimización de las prestaciones técnicas o de la ergonomía, estimación de la potencia de los servidores necesarios, análisis de los contenidos consultados, etc.) son estrictamente necesarias para el funcionamiento y la administración cotidiana de un sitio web o una aplicación y, por lo tanto, no están sujetas, de conformidad con el artículo 82 de la Ley de protección de datos de Francia, a la obligación legal de obtener el consentimiento previo del usuario de Internet.

Para limitarse a lo estrictamente necesario para la prestación del servicio, la Comisión subraya que estos trazadores deben tener una finalidad estrictamente limitada a la mera medición de la audiencia en el sitio web o la aplicación por cuenta exclusiva del editor. En particular, esos rastreadores no deben permitir el seguimiento general de la navegación de la persona utilizando diferentes aplicaciones o navegando en diferentes sitios web. Asimismo, esos trazadores sólo deben utilizarse para producir datos estadísticos anónimos, y los datos personales recogidos no pueden cotejarse con otras operaciones de procesamiento ni transmitirse a terceros, ni tampoco son necesarias esas diferentes operaciones para el funcionamiento del servicio.

De manera más general, la Comisión recuerda que las operaciones de tratamiento de medidas de audiencia son operaciones de tratamiento de datos personales que están sujetas a todas las disposiciones pertinentes del RGPD.

CNIL: Délibération n° 2020-091

Paralelamente, el mismo 1 de octubre de 2020 la CNIL publicó unas recomendaciones (Délibération n° 2020-092) en la que se proponen procedimientos prácticos de cumplimiento en caso de utilización de cookies y otros rastreadores, cuyo Art. 5 establece que:

Artículo 5: Rastreadores exentos de consentimiento.

La Comisión observa que el artículo 82 de la Ley de protección de datos de Francia no exige que se informe a los usuarios de la existencia de operaciones de lectura y escritura no sujetas a consentimiento previo. Por ejemplo, es probable que la utilización por un sitio web de una cookie de preferencia de idioma que almacene sólo un valor que indique el idioma preferido del usuario esté cubierta por la exención y no constituya un tratamiento de datos personales sujetos al RGPD. No obstante, a fin de garantizar la plena transparencia de esas operaciones, la Comisión recomienda que se informe también a los usuarios de la existencia de esas cookies y de su finalidad, por ejemplo, incluyendo una mención al respecto en la política de privacidad.

Más concretamente, en lo que respecta a los rastreadores de medidas de audiencia exentos del requisito de consentimiento, tal como se describe en el artículo 5 de las Directrices de 17 de septiembre de 2020, la Comisión también recomienda que:

– Los usuarios deben ser informados sobre la aplicación de estos rastreadores, por ejemplo, a través de la política de privacidad del sitio o de la aplicación móvil;

– la vida útil de los rastreadores debe limitarse a un período que permita una comparación significativa de las audiencias a lo largo del tiempo, como sucede en el caso de un período de 13 meses, y no debe prorrogarse automáticamente para nuevas visitas;

– la información recogida mediante estos trazadores debe conservarse durante un período máximo de 25 meses;

– los períodos de vida y de retención antes mencionados estarán sujetos a revisión periódica

CNIL: Délibération n° 2020-092

Cabe señalar, que la propia CNIL ha implementado las cookies analíticas de Piwik (Matomo) en su página web www.cnil.fr, las cuales se instalan por defecto al acceder a la misma –sin que aparezca una primera capa informativa- debiendo acudir a la sección “Gestion des cookies” en la parte superior de la página para manifestar la oposición a su instalación, tal y como pone de manifiesto la siguiente grabación:


Agencia Española de Protección de Datos (AEPD)

El pasado 28 de julio de 2020, la AEPD actualizó su Guía sobre el uso de cookies, en cuya página 12 se limitó a recoger la reflexión que efectuó el GT29 en 2012 sobre la poca probabilidad que las cookies para análisis propios supongan un riesgo para la privacidad, sin llegar a regular las condiciones para que este tipo de cookies estén exentas de la obligación de obtener el consentimiento:

c) Cookies de análisis o medición: son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

Respecto al tratamiento de datos recabados a través de las cookies de análisis, el GT29 manifestó que, a pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.”

AEPD: Guía sobre el uso de cookies

Reclamadatos

En el contexto descrito, desde Reclamadatos hemos presentado una consulta al Gabinete Jurídico de la AEPD para que confirme si el criterio para el uso de cookies analíticas exentas de obtener el consentimiento, enunciado por el GT29 en su Dictamen 4/2012 y desarrollado posteriormente por la CNIL en los Art. 5 de la Délibération n° 2020-091 y Délibération n° 2020-092, es conforme al Art. 22.2 de la LSSI que transpone al ordenamiento jurídico español el Art. 5.3 de la Directiva ePrivacy y, por consiguiente, puede ser de aplicación en España.

Con esta iniciativa, buscamos un pronunciamiento de la autoridad de control que ponga fin a la inseguridad jurídica e incertidumbre que, a nuestro entender, planea actualmente en el mercado publicitario, tanto para las personas en el momento de elegir sus preferencias sobre el uso de cookies cuando visita una página web o instala una App, como para las propias marcas.