Fue en junio de 1994 cuando Lou Montulli tuvo la idea de utilizar las cookies en las comunicaciones web. Por aquel entonces, el empleado de Netscape Communications estaba trabajando en el desarrollo de una aplicación de comercio electrónico. Su cliente no quería que se almacenasen en su servidor datos referentes a transacciones parciales, es decir, el carrito de la compra. Lou Montulli tuvo entonces la idea de utilizar cookies para este propósito.
Poco después, la versión 0.9Beta del navegador de Netscape, publicada el 13 de octubre de 1994, soportaba el uso de cookies. Internet Explorer integró en su versión 2, publicada en octubre de 1995 el uso de cookies. En 1997 ya existían empresas de publicidad que usaban cookies de terceros.
Pese a que las cookies aparecieron hace más de dos décadas, su conocimiento por el público general es relativamente reciente. El uso masivo por parte de los operadores para rastrear al usuario y elaborar perfiles de sus hábitos de navegación y de compra con el objetivo de mostrar publicidad dirigida, provocó que en 2009 el Parlamento Europeo tomase cartas en el asunto aprobando la Directiva 2009/136/CE que modificaba la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, obligando a los estados miembros a trasponer (reflejar el contenido de la Directiva en una ley nacional) la primera en el ordenamiento nacional antes del 25 de mayo de 2011.
Tras ello, el legislador introdujo las modificaciones pertinentes en el artículo 22 de nuestra Ley 34/2002 de servicios de la sociedad de la información de comercio electrónico (en adelante, la “LSSI”). A partir del 1 de abril de 2012 es obligatorio informar y recabar el consentimiento para el uso de cookies.
Una cookie no es otra cosa que un pequeño archivo de texto donde se almacena determinada información. Los navegadores web tienen la capacidad de leer la información contenida en estos archivos y enviar su contenido a una página web cuando ésta lo solicite. Del mismo modo, los navegadores tienen la capacidad de escribir información en estos archivos cuando una página web lo indique.
Podríamos decir, siguiendo la definición legal, que una cookie es un dispositivo de almacenamiento y recuperación de datos en equipos terminales del destinatario.
Nuestra legislación es clara. El artículo 22.2 de la LSSI establece que “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.”
Es por ello que, de acuerdo con las recomendaciones recogidas en la guía sobre el uso de las cookies editada por la Agencia Española de Protección de Datos, Adigital, Autocontrol e IAB, se adopta el modelo actual de información y consentimiento dispuesto en dos capas.
No. Están exceptuadas de la obligación de informar las cookies:
a. Usadas al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas.
b. Estrictamente necesarias a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente por el abonado o el usuario.
Desde 2012 el imparable avance tecnológico también ha afectado al ecosistema de las cookies. Los usuarios, cada vez más conscientes de los riesgos que representa para su privacidad el uso de cookies, han comenzado a bloquear la instalación de determinadas cookies, y prolifera el uso de los llamados bloqueadores de publicidad.
Ante esto, asistimos al desarrollo de otras técnicas de almacenamiento y recuperación de datos en el lado del interesado, a fin de evitar el bloqueo al uso de cookies por parte de los usuarios. A continuación, exponemos algunas de las técnicas más utilizadas:
1. Flash cookies y local shared objects
Aprovechando que un gran número de terminales de usuario dispone del complemento de reproducción de vídeo de Adobe Flash, un sitio web que utilice esta tecnología podría almacenar y recuperar información del mismo modo que si de una cookie se tratase, incluso en equipos en los que se hubiese deshabilitado el uso de cookies.
No obstante, la efectividad de este sistema se ha visto reducida desde la aplicación del estándar HTML5 a la web, ya que éste permite la reproducción de vídeo sin necesidad de ningún complemento externo.
A través del siguiente enlace, puede comprobar el funcionamiento de esta tecnología y si su navegador tiene el plugin Adobe Flashplayer instalado.
2. Etags y enriquecimiento de cabeceras
Etag (etiquetas de entidad) es parte del protocolo HTTP. Se trata de uno de los mecanismos que HTTP utiliza para la validación del caché web. Por ejemplo, si hemos visitado una web con una imagen y dicha imagen no ha cambiado, no se vuelve a “descargar” esta imagen en el navegador del usuario, sino que el usuario verá la versión de la imagen almacenada en el cache de su navegador. Cuando las imágenes difieran, será cuando se produzca la descarga de la nueva imagen. Esto permite optimizar el ancho de banda y realizar peticiones condicionales de contenido.
No obstante, mediante el uso de estas técnicas también se puede obtener un identificador del navegador del usuario.
3. Canvas fingerprinting
Desde la llegada del estándar HTML5 y su soporte por los principales navegadores, existe la posibilidad de aprovechar las capacidades de esta tecnología para identificar el navegador del usuario. En concreto, esta técnica se aprovecha de la capacidad de HTML5 para “dibujar” texto en el navegador. Dado que cada sistema es diferente, la imagen presentará sutiles diferencias que permitirán obtener un identificador muy preciso.
Puede comprobar el funcionamiento de esta tecnología a través del siguiente enlace.
4. Detección de fuentes
Dada la capacidad de muchos sistemas para ser personalizados, las fuentes que pueda tener cada equipo variarán sensiblemente de un equipo a otro. Del mismo modo, dadas las diferencias de cada equipo, las medidas (inapreciables para el ojo humano) entre caracteres y el espacio que ocupa un determinado texto pueden servir para obtener un identificador único de un navegador.
Puede comprobar el funcionamiento de esta tecnología a través del siguiente enlace.
5. Caché del navegador
Como su propio nombre indica, esta técnica consiste en almacenar datos directamente en el cache del navegador.
Puede comprobar el funcionamiento de esta tecnología a través del siguiente enlace.
6. Web GL
Esta técnica consiste en representar una determinada figura en 3D dentro del navegador. Dadas las diferentes configuraciones de hardware de cada equipo, la forma de representar la mencionada figura variará, de tal forma que sería posible obtener una identificación única de un equipo.
A través del siguiente enlace puede comprobar el funcionamiento de esta tecnología.
1. Zombie cookies
Pese a que, a priori, se trata de una cookie corriente, este tipo de cookies tienen la particularidad de que a pesar de que el usuario las elimine de su equipo, éstas reaparecerán. Esto se consigue utilizando un servidor externo que compara las cookies del navegador del usuario con las que envió el sitio. Para ello, se guarda la cookie utilizando un gran número de técnicas, como almacenamiento local, flash cookies o local shared objects, caché, etc.
Evercookie ha sido utilizado, además, por la NSA para tratar de acabar con el anonimato de determinados usuarios de la red TOR.
A través del siguiente enlace, puede comprobar el funcionamiento de esta tecnología.
2. Beaverbird y Fingerprintjs2
Beaverbird y Fingerprintjs2 son dos librerías que permiten obtener una identificación única del navegador del usuario combinando varias técnicas de identificación como las que hemos mencionado.
Puede comprobar su funcionamiento a través de los siguientes enlaces:
Precisamente por la novedad de estas técnicas, existen relativamente pocas resoluciones de la AEPD sobre el uso de estas técnicas.
No obstante, encontramos la resolución R/01753/2016 en la que la AEPD sanciona a Telefónica con 50.000 € por el uso de Etags para identificar a los usuarios que utilizaban su página web.
Del mismo modo, encontramos resoluciones por el uso de flash cookies, como la resolución R/01761/2014 en la que la empresa resultó apercibida por incumplir lo dispuesto en el artículo 22 de la LSSI.
Y es que, a pesar de no ser cookies en el sentido estricto, son dispositivos de almacenamiento y recuperación de datos y, por tanto, a menos que se encuentren exceptuados en base a los criterios que hemos expuesto, será obligatorio informar y contar con el consentimiento del usuario.
Con la aplicación del nuevo Reglamento Europeo de Protección de Datos, a partir del próximo 25 de mayo de 2018, seguirá siendo obligatorio informar, y en su caso, recabar el consentimiento para el uso de dispositivos de almacenamiento y recuperación de datos. No obstante, hasta que no se apruebe el nuevo Reglamento de e-privacy, no conoceremos con certeza los detalles.
El uso de dispositivos de almacenamiento y recuperación de datos en una web no es un asunto baladí. No hacerlo respetando los derechos de los interesados puede conducir a importantes sanciones. En Herrero & Asociados estamos encantados de ayudar a tu empresa a cumplir con la normativa y evitar eventuales sanciones.
Victor Méndez
