El interés legítimo para la instalación de cookies

Hoy finaliza el periodo transitorio de tres meses para implementar los criterios fijados por la Agencia Española de Protección de Datos (AEPD) en la actualización de su Guía sobre el uso de cookies, publicada el pasado 28 de julio y, seguramente, ha sido uno de los temas a tratar por los departamentos de marketing, legal y Delegados de Protección de Datos (DPO) de muchas empresas.

En la anterior entrada del Blog, analizamos el criterio de las cookies analíticas exentas de la obligación de obtener el consentimiento. En esta ocasión, analizaremos si el interés legítimo puede ser una base jurídica suficiente para la instalación de cookies.


Interactive Advertising Bureau (IAB)

Uno de los mayores promotores de este criterio ha sido IAB, una organización comercial de publicidad que desarrolla estándares de la industria, realiza investigaciones y brinda apoyo legal a la industria de la publicidad en línea. Entre sus miembros destacan pesos pesados como Google, Microsoft, Adobe, Snapchat, Twitch, Twitter, Uber, Criteo, y un largo etcétera que puedes consultar en su página web.

Pues bien, el 28 de abril de 2018, IAB lanzó el “Transparency & Consent Framework” (en adelante, “TCF”), un marco tecnológico que facilita la automatización de las subastas basadas en precio y las compras en tiempo real, conocida como RTB (real time bidding), que permite a sus asociados (vendors) utilizar el consentimiento y/o el interés legítimo, como bases jurídicas para la instalación de cookies y/o tecnologías similares.

Cabe recordar, que el marco TCF está implementado en las soluciones CMP (consent magement platform) más utilizadas del mercado (ver lista completa) y, por tanto, no es de extrañar que numerosas páginas web, plataformas y/o aplicaciones móviles estén -actualmente- instalando cookies de los vendors del TCF.

A la fecha del presente artículo, IAB cuenta con más de 600 vendors (ver lista completa), cuyas cookies o tecnologías similares (localStorage, indexDB, mobile ad IDs, etc.) se instalan en los dispositivos de los usuarios en función de las finalidades y bases legitimadoras (consentimiento, interés legítimo o ambos) seleccionadas por cada vendor durante el proceso de registro:


Reclamaciones ante Autoridades de control europeas

Desde sus inicios el TCF no estuvo exento de polémica, factor que motivó la presentación en cascada de toda una serie de reclamaciones ante las autoridades de protección de datos de distintos países europeos, tal y como recopila Techcrunch:

  • Otoño de 2018: Reino Unido e Irlanda
  • Enero de 2019: Polonia
  • Mayo de 2019: España, Países Bajos, Bélgica y Luxemburgo

Agencia Británica de Protección de Datos (ICO)

Paralelamente a las citadas denuncias, el pasado 20 de junio de 2019 la ICO emitió el informe “Update report into adtech and real time bidding”, en el que establece:

«Creemos que la naturaleza del procesamiento dentro de la RTB hace imposible cumplir con los requisitos de base legal del interés legítimo. Esto significa que el interés legítimo no puede ser utilizado para el tratamiento de la solicitud de oferta principal. Esto ocurriría incluso si fuera posible que el interés legítimo fuera aplicable en otra parte del ecosistema de la RTB -por ejemplo si se pide a un DMP que complemente una solicitud de oferta con información adicional. Parece haber una percepción por parte de algunos participantes de que el consentimiento es «un desafío» y que el interés legítimo es la «opción fácil». En general, no creemos que se comprenda plenamente qué requiere el interés legítimo.

En nuestra opinión, la única base legal para el tratamiento de datos personales en la RTB «habitual» es el consentimiento (es decir, el tratamiento relacionado con la colocación y lectura de la cookie y la posterior transferencia de la solicitud de oferta). En primer lugar, esto se debe a que el PECR1 requiere el consentimiento en el punto inicial para el uso de cualquier cookie no esencial. Las cookies utilizadas con fines de publicidad en línea (no sólo RTB, sino todos los tipos de publicidad en línea) requieren el consentimiento previo del RGPD y no pueden basarse en una exención del Art. 6 del PERC, como se ha indicado anteriormente. En segundo lugar, si bien el tratamiento asociado de datos personales puede basarse en una base legal alternativa, el consentimiento es también la base legal más apropiada para el tratamiento de datos personales más allá de la instalación de cookies. Esto se debe a la naturaleza del tratamiento en la RTB, en particular cuando se considera junto con la orientación previa de las autoridades de protección de datos sobre el tratamiento en el contexto de la publicidad en línea.

ICO (20 junio 2019): «Update report into adtech and real time bidding»

1PERC: The Privacy and Electronic Communications (EC Directive) Regulations 2003, que transpuso al ordenamiento jurídico británico el Art. 5.3 de la Directiva ePrivacy.


European Data Protection Board (EDPB)

El pasado 7 de septiembre de 2020, el EDPB también se pronunció sobre este asunto, a través de la consulta pública de sus “Directrices 08/2020 sobre la captación de usuarios de redes sociales”, en las que establece:

65. En primer lugar, dado que los ejemplos 4, 5 y 6 implican el uso de cookies, es necesario tener en cuenta los requisitos derivados del artículo 5.3 de la Directiva sobre la privacidad y las comunicaciones electrónicas.

66. A este respecto, cabe señalar que el párrafo 3 del artículo 5 de la Directiva sobre la privacidad y las comunicaciones electrónicas exige que se facilite a los usuarios información clara y completa, entre otras cosas, sobre los fines del tratamiento, antes de dar su consentimiento, salvo excepciones muy limitadas. Una información clara y completa implica que el usuario está en condiciones de determinar fácilmente las consecuencias de cualquier consentimiento que pueda dar y garantizar que el consentimiento dado esté bien informado. En consecuencia, el responsable del tratamiento tendrá que informar a los interesados acerca de todos los fines pertinentes del tratamiento, incluido cualquier tratamiento posterior de los datos personales obtenidos mediante el acceso a la información en el equipo terminal.

67. Para ser válido, el consentimiento recogido para la aplicación de las tecnologías de rastreo debe cumplir las condiciones establecidas en el artículo 7 de la Ley de reglamentación de las exportaciones. Por ejemplo, el consentimiento no es válido si se permite el uso de cookies mediante una casilla de verificación marcada previamente por el proveedor de servicios, que el usuario debe desmarcar para denegar su consentimiento. Sobre la base del considerando 32, acciones como el desplazamiento o la navegación por una página web o una actividad similar del usuario no satisfarán en ningún caso el requisito de una acción afirmativa clara: esas acciones pueden ser difíciles de distinguir de otra actividad o interacción de un usuario y, por lo tanto, tampoco será posible determinar que se ha obtenido un consentimiento inequívoco. Además, en tal caso, será difícil proporcionar al usuario una forma de retirar el consentimiento de una manera que sea tan fácil como otorgarlo.

71. Adicionalmente, cualquier tratamiento posterior de datos personales, incluidos los datos personales obtenidos mediante cookies, plug-ins sociales o píxeles, debe tener también un fundamento jurídico en virtud del artículo 6 del RGPD para ser lícito. En lo que respecta al fundamento jurídico del tratamiento en los Ejemplos 4, 5 y 6, el EDPB considera que el interés legítimo no puede actuar como un fundamento jurídico apropiado, ya que el objetivo se basa en la vigilancia del comportamiento de los individuos a través de sitios web y lugares utilizando tecnologías de rastreo.

72. Por consiguiente, en tales circunstancias, es probable que el fundamento jurídico apropiado para cualquier tratamiento posterior en virtud del artículo 6 del RGPD sea también el consentimiento del interesado. De hecho, al evaluar el cumplimiento del artículo 6 de la Ley de Protección de Datos, hay que tener en cuenta que el tratamiento en su conjunto implica actividades específicas para las que el legislador de la Unión Europea ha tratado de proporcionar una protección adicional. Además, los responsables del tratamiento deben tener en cuenta las repercusiones en los derechos de los interesados al determinar la base jurídica adecuada para respetar el principio de equidad.”


Autoridad Belga de Protección de Datos (APD-GBA)

Por si fuera poco, el pasado 16 y 19 de octubre de 2020, la propia IAB anunció la existencia de un informe del Servicio de Inspección de la Autoridad Belga de Protección de Datos (en adelante, “APD-GBA”) que cuestiona la compatibilidad del TCF de con el RGPD:

Debemos tener en cuenta que la entidad IAB Europe, promotora del TCF, está establecida en Bruselas (Bélgica), por lo que es posible que la APD-GBA esté actuando como la autoridad de control principal en el marco de la cascada de reclamaciones, citada anteriormente.


Reclamadatos

En el contexto descrito, el pasado 29 de octubre de 2020 presentamos una consulta al Gabinete Jurídico de la AEPD para que confirme si el interés legítimo puede ser una base jurídica suficiente para la instalación de cookies, inclusive en el marco de un RTB, y por consiguiente, conforme con el Art. 22.2 de la LSSI que transpone al ordenamiento jurídico español el Art. 5.3 de la Directiva ePrivacy.

Con esta iniciativa, buscamos un pronunciamiento de la autoridad de control que ponga fin a la inseguridad jurídica e incertidumbre que, a nuestro entender, planea actualmente en el mercado publicitario, tanto para las personas en el momento de elegir sus preferencias sobre el uso de cookies cuando visita una página web o instala una App, como para las propias marcas.