Las autoridades europeas han elaborado recientemente un estudio de evaluación del cumplimiento de la legislación europea sobre las cookies que ha arrojado una conclusión moderadamente positiva según la valoración de las propias autoridades.

El estudio se llevó a cabo en ocho países de la Unión Europea y analizó 478 páginas web de entre las más visitadas en cada uno de ellos. En concreto, se monitorizaron las cookies instaladas, la información proporcionada sobre las mismas y la solicitud, o no, de consentimiento explícito por parte del usuario.

El análisis del estudio muestra áreas de mejora importantes tanto en el cumplimiento de la legislación como en la aplicación de mejores prácticas para la mejora de la protección de la privacidad del usuario. El siguiente párrafo, recogido del propio estudio recoge los datos que son motivo de mayor preocupación:

[…] el 26% de los sitios analizados no ofrece información de que se están utilizando cookies. En los que sí se facilitaba esa información, la visibilidad de la misma podría ser mejorada en un 39% de los casos y la mitad únicamente informa a los usuarios sobre el uso de cookies, sin requerir el consentimiento para su instalación. Además, sólo el 16% de los sitios analizados ofrece a sus visitantes un nivel granular de control sobre la instalación de estos archivos.

El estudio no proporciona datos sobre el número total de sitios que incumplen con la actual legislación en materia de cookies pero este párrafo permite aventurar que son la mayoría. Por un lado el 26% ni siquiera informa sobre la instalación de cookies en el terminal del usuario, una obligación recogida en el artículo 22 de la LSSI y, de entre los que sí informan, tan solo la mitad solicita el consentimiento para su instalación.

Las cookies y la solicitud de consentimiento

La legislación no fija la obligación de solicitar el consentimiento en todos los casos sino que marca unas exenciones para las cookies que cumplan con uno de estos dos criterios:

CRITERIO A: el cookie se utiliza «al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas».

CRITERIO B: el cookie es «estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario».

En principio se podría considerar que esa mayoría de webs analizadas no solicitan consentimiento porque sus cookies cumplen con uno de estos criterios. Sin embargo, otro de los datos del estudio nos informa de que» el 70% de las cookies encontradas son de tercera parte «algo que, en la mayor parte de los casos, supondría la obligación de consentimiento, algo que no ocurre.

La fecha de caducidad de las cookies

Otro de los datos que arroja el estudio y que pone de manifiesto una irregularidad muy común es el establecimiento de una fecha de caducidad para la vida útil y almacenamiento de la cookie dentro del terminal del usuario. Sobre esta aspecto el Dictamen 4/2012 de la Comisión Europea recoge lo siguiente:

Un cookie exento de la obligación de consentimiento debe tener una vida útil directamente relacionada con la finalidad para la que se utiliza, y debe estar programado para expirar una vez que no sea necesario.

Los resultados de estudio arrojan que la vida media de las cookies instaladas es de entre uno y dos años, con un 20% de ellas entre los 5 y los 10 años, 374 con una fecha de caducidad superior a los 10 años, llegando en 3 casos a fijar la caducidad en el  31 de diciembre del año 9999 ( casi 8.000 años de plazo). Los datos dejan bien claro que no existe un respecto de mejores prácticas a la hora de fijar una fecha de caducidad y que ésta no se relaciona en muchos casos con el propósito para el que se está instalando la cookie.

Conclusión

El estudio proporciona una información muy útil de cara a evaluar la implantación de una legislación como la de cookies que, dado el tamaño y la heterogeneidad de Internet como medio de comunicación, está llena de desafíos para legisladores y profesionales.

Los resultados dejan muy claro que todavía hay mucho trabajo por hacer para informar y asesorar a todos los profesionales relacionados con la comunicación y desarrollo web con el objetivo final de preservar el derecho a la privacidad de los usuarios y hacer de Internet un lugar más seguro y fiable.

Enlaces relacionados:

Guía sobre el uso de cookies AEPD

Información sobre cookies de la Comisión Europea (en inglés)