Tras varios meses de inactividad en el Blog (motivada, en gran parte, por mi recién estrenada paternidad), retomo la actividad de escritura, con una cuestión que me ha estado rondando en la cabeza desde que se publicó la mal llamada Ley de Cookies. Y hago mención a lo de mal llamada, porque nunca un apartado de un artículo de una Ley, en este caso el ya conocido 22.2 de la LSSI, había sido elevado a la categoría de Ley, como el referido.
Ya se ha debatido, y mucho, sobre las cookies y cómo cumplir con este mandato de la LSSI. Incluso la AEPD ha publicado toda una guía de cómo cumplir con una apartado de un artículo. Es más, existen varios procedimientos sancionadores por incumplimiento de lo dispuesto en el ya mencionado artículo 22.2 de la LSSI, y como no, uno de estos procedimientos tiene como protagonista a Google.
Hoy me quiero centrar en el primer párrafo del artículo 22.2 que señala lo siguiente:
«Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.«
Como bien es conocido, salvo para aquellas cookies de las que se excepciona el cumplimiento de este artículo, a tenor del último párrafo de lo señalado en el artículo 22.2 de la LSSI, para el resto se deben cumplir con las obligaciones de información y consentimiento, de las que la señalada guía, ya deja una pista de cómo poder realizarlo.
No obstante, en el prímer párrafo del artículo 22.2 de la LSSI, he querido resaltar la frase «con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal«. Si nos fijamos en el ámbito de aplicación de esta Ley (La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado) y lo conjugamos con la redacción del primer párrafo del artículo 22.2 de la LSSI, parece meridianamente claro que todo tratamiento de información (o de datos como señala la LSSI) que se realice mediante cookies, es un tratamiento de datos de carácter personal. Entonces. ¿porque la LSSI excepciona del cumplimiento de los deberes de información y consentimiento a algún tipo de cookie, si en ella misma se recoge que se debe cumplir con la LOPD? ¿Puede excepcionar la LSSI con un ámbito de aplicación concreto, el cumplimiento de las obligaciones de la LOPD, con otro ámbito de aplicación? ¿Realmente se hubiera necesitado un régimen particular para el uso de las cookies, cuando ya existe un régimen específico para el tratamiento de datos de carácter personal?
Sinceramente, entiendo que sólo cabe dos caminos para dar respuesta a estas preguntas: Una inadecuada técnica de redacción legislativa (que se hubiera salvado con un «en su caso») o que se hubiera querido mostrar en la LSSI el régimen del consentimiento informado de la LOPD.
Autor:
Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Google+: +Gontzal Gallo
Entre Códigos Civiles y Androides 
Solamente quiero aportar un comentario o más bién manifestar algunas dudas muy resumidamente.
Por una parte, creo que la referencia a la LOPD se debería entender «en el caso que se traten datos personales», ya que el artículo 22.2 habla de «datos», no de «datos personales». Entiendo que en ocasiones las cookies recogen datos individuales, no personales; es decir saben cosas sobre nosotros pero no saben quién somos.
Por otra parte, en cuanto a la posibilidad que la LSSI excepcione la LOPD, más bien lo veo como la aplicación de una ley especial (LSSI) con preferencia a una ley general (LOPD).
Gracias Jordi por tu comentario! Yo lo entiendo como tú, pero si se hubiera incluido la frase «en su caso» hubiera servido para una mejor interpretación.