Las cookies siempre tratan datos personales según la LSSI


Tras varios meses de inactividad en el Blog (motivada, en gran parte, por mi recién estrenada paternidad), retomo la actividad de escritura, con una cuestión que me ha estado rondando en la cabeza desde que se publicó la mal llamada Ley de Cookies. Y hago mención a lo de mal llamada, porque nunca un apartado de un artículo de una Ley, en este caso el ya conocido 22.2 de la LSSI, había sido elevado a la categoría de Ley, como el referido.

Ya se ha debatido, y mucho, sobre las cookies y cómo cumplir con este mandato de la LSSI. Incluso la AEPD ha publicado toda una guía de cómo cumplir con una apartado de un artículo. Es más, existen varios procedimientos sancionadores por incumplimiento de lo dispuesto en el ya mencionado artículo 22.2 de la LSSI, y como no, uno de estos procedimientos tiene como protagonista a Google.

Hoy me quiero centrar en el primer párrafo del artículo 22.2 que señala lo siguiente:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Como bien es conocido, salvo para aquellas cookies de las que se excepciona el cumplimiento de este artículo, a tenor del último párrafo de lo señalado en el artículo 22.2 de la LSSI,  para el resto se deben cumplir con las obligaciones de información y consentimiento, de las que la señalada guía, ya deja una pista de cómo poder realizarlo.

No obstante, en el prímer párrafo del artículo 22.2 de la LSSI, he querido resaltar la frase “con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal“. Si nos fijamos en el ámbito de aplicación de esta Ley  (La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado) y lo conjugamos con la redacción del primer párrafo del artículo 22.2 de la LSSI, parece meridianamente claro que todo tratamiento de información (o de datos como señala la LSSI) que se realice mediante cookies, es un tratamiento de datos de carácter personal. Entonces. ¿porque la LSSI excepciona del cumplimiento de los deberes de información y consentimiento a algún tipo de cookie, si en ella misma se recoge que se debe cumplir con la LOPD? ¿Puede excepcionar la LSSI con un ámbito de aplicación concreto, el cumplimiento de las obligaciones de la LOPD, con otro ámbito de aplicación? ¿Realmente se hubiera necesitado un régimen particular para el uso de las cookies, cuando ya existe un régimen específico para el tratamiento de datos de carácter personal?

Sinceramente, entiendo que sólo cabe dos caminos para dar respuesta a estas preguntas: Una inadecuada técnica de redacción legislativa (que se hubiera salvado con un “en su caso”) o que se hubiera querido mostrar en la LSSI el régimen del consentimiento informado de la LOPD.

Autor:

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

Anuncios

2 Responses to “Las cookies siempre tratan datos personales según la LSSI”


  1. 1 Jordi Bacaria 10/09/2014 en 11:04

    Solamente quiero aportar un comentario o más bién manifestar algunas dudas muy resumidamente.
    Por una parte, creo que la referencia a la LOPD se debería entender “en el caso que se traten datos personales”, ya que el artículo 22.2 habla de “datos”, no de “datos personales”. Entiendo que en ocasiones las cookies recogen datos individuales, no personales; es decir saben cosas sobre nosotros pero no saben quién somos.
    Por otra parte, en cuanto a la posibilidad que la LSSI excepcione la LOPD, más bien lo veo como la aplicación de una ley especial (LSSI) con preferencia a una ley general (LOPD).

    • 2 Gontzal 10/09/2014 en 11:42

      Gracias Jordi por tu comentario! Yo lo entiendo como tú, pero si se hubiera incluido la frase “en su caso” hubiera servido para una mejor interpretación.


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Utilización de Cookies

El autor del blog es un mero usuario de la Plataforma WordPress.com y no controla, ni gestiona las cookies que WordPress.com pudiera utilizar. En este sentido, Wordpress.com utiliza cookies para la prestación de servicios publicitarios, estadísticos y analíticos, con los que el autor del blog no posee ningún tipo de relación jurídica onerosa. Si continua navegando se entenderá que acepta el uso de cookies. Puede obtener más información en el aviso legal de privacidad y cookies del blog y en las Políticas de Privacidad de WordPress.com

Mis tweets

Blogs de mis compañeros

Última entrada del Blog de Jesús Soler: jsolerabogado

Blockchain: perspectiva jurídica

Ciertamente no soy muy dado a realizar comentarios sobre la tecnología que soporta los diferentes sistemas de información, tanto por desconocimiento como por convicción. Las Ciencias del saber son muy amplias y requieren, para opinar con un cierto seso, dominar en profundidad la materia, resultándome muy embarazoso realizar un juicio de valor sobre algo que […]

Última entrada del Blog de Gonzalo Álvarez: Derecho de las TIC

Análisis de los conceptos de anonimización, seudonimización y disociación en el ámbito de protección de datos

INTRODUCCIÓN Esta entrada tiene por objeto analizar los conceptos de anonimización, seudonimización y disociación contemplados y definidos en la normativa vigente en materia de protección de datos con el objetivo de aportar una visión coherente ante la próxima transposición de la normativa europea a la legislación española. Asimismo, se realizan referencias a legislación sectorial que […]


jsolerabogado

Reflexiones de un abogado sobre legislación tecnológica

A %d blogueros les gusta esto: