El concepto y la finalidad del uso de cookies ha cambiado con el tiempo, y ha llegado a ser un poderoso instrumento de obtención de información para el administrador de un servidor y para los departamentos de marketing de empresas que hacen publicidad en Internet o simplemente disponen de una página web.

Esta técnica es objeto de debate en la actualidad, hasta el punto de que en Alemania existe un proyecto de ley que podría llegar a prohibir su uso.

Para determinar si se produce una intromisión en la intimidad del usuario, deben tenerse en cuenta una serie de cuestiones que se analizan a continuación.

Contenido

Los cookies pueden contener datos personales o cualquier otro tipo de información relacionada con el interface cliente-servidor. La LORTAD define los datos personales como "cualquier información concerniente a personas fisicas identificadas o identificables". Por ello, si el contenido está constituido por datos que son necesarios para efectuar transacciones cliente-servidor, en las que no se gestiona información relativa a personas físicas, no existirá una lesión potencial de la intimidad.

Asociación de los datos a una persona identificada o identificable

Algunos programas navegadores asignan de forma automática el nombre del usuario al fichero que se genera como cookie. De esta manera, el nombre del fichero puede estar formado por el nombre del usuario, un símbolo de separación y el nombre del servidor que ha dado intrucciones para generar el archivo cookie. Para que esta asignación pueda producirse, el navegador debe haber sido previamente personalizado por el usuario, en el momento de la instalación o con posterioridad. Si ello no se produce, el contenido del cookie no podrá ser considerado como personal, ya que no podrá ser asociado a una persona identificada. No obstante, el archivo cookie puede contener la dirrección IP del usuario. En este caso su identidad podría ser obtenida si utiliza una dirección IP fija, siempre que sea notorio el uso de dicha IP por un usuario determinado. En el caso de IP's dinámicas, la única forma de obtener la identidad del usuario sería mediante un requerimiento judicial al PSI que le dió acceso a la red, antes de que los datos de la sesión desaparezcan del LOG del sistema. Las dificultades inherentes a este sistema de identificación nos hacen pensar que la inclusión de una IP dinámica en un archivo cookie no es suficiente para considerar el contenido como datos de carácter personal.

Función

También hay que tener en cuenta la finalidad que persigue el diseñador del cookie para poder valorar si su uso se ajusta o no a derecho. Por ejemplo, el administrador de una sede web puede ofrecer al usuario la posibilidad de personalizar el interface de usuario, es decir el menú, los contenidos y las diferentes opciones de diseño de la home page de un web. En este caso, la trascendencia del archivo cookie es minima ya que responde a una finalidad pasiva de informar sobre la configuración de un navegador, o la home page de un servicio de noticias. En otros casos, la función del cookie es recoger datos sobre las secciones más visitadas de un web. Si todas las secciones tratan un tema monográfico, y la información es puramente estadística, tampoco vemos problemas. En especial, cuando la información estadística obtenida no puede asociarse a personas identificables. En cambio, cuando los datos obtenidos pueden servir para elaborar el perfil de un usuario concreto, y personalizar así la oferta posterior, pueden surgir conflictos con las disposiciones de la LORTAD, ya que la información se obtiene sin el consentimiento del usuario. En este sentido, pueden ser declarados ilícitos los cookies activos, es decir, aquéllos que no se limitan a ser un fichero de datos sino que pueden ser ejecutados de forma inconsentida, obteniendo mayor información. Nos referimos a los applets de Java y controles ActiveX que se instalan en el disco duro del ordenador y comprueban los datos personales que figuren en el ordenador del usuario, aprovechando la existencia de otros cookies que revelan sus gustos o preferencias.

Consentimiento del usuario

También debe analizarse el nivel de consentimiento del usuario, ya que el derecho a la intimidad es renunciable. Así, el usuario que mantenga una relación negocial con el propietario del servidor, puede autorizarle contractualmente para que obtenga la información necesaria para concretar su oferta o para mejorar el servicio con prestaciones adicionales. En este caso, a la tradicional cláusula contractual por la que se autoriza el tratamiento automatizado de sus datos personales debe añadirse la figura del cookie, como instrumento para obtener datos adicionales sobre los hábitos de consumo, frecuencias de visita de una sección determinada, tipo de noticias a suministrar, etc. También puede obtenerse una autorización implícita mediante la advertencia de que la página web visitada tiene cookies, y que el usuario tiene la posibilidad de impedir el acceso a su ordenador, mediante la opción correspondiente de su navegador. Lo que más molesta al usuario es la entrada de contenidos inconsentidos en su ordenador. Si la página visitada tiene una sección que informa sobre las funciones que realiza el cookie, y el usuario puede comprobar su carácter inofensivo, es probable que autorice su entrada en el sistema. En especial, si la recepción del cookie es un requisito previo para la visualización de la página, y ésta contiene algo que interesa al usuario.

Xavier Ribas