Cookies, su legalidad |
¿Qué
se ha de hacer para respetar la LOPD ?
Por un lado, no estaría de más aplicar las cautelas que la misma Agencia de Protección de Datos recomienda en tal sentido, y que en síntesis serían : avisar al usuario, antes de comenzar la actividad de la cookie, de que salvo que la autorice, ésta va a ser introducida en su ordenador; también se aconseja indicar qué nombre de dominio tiene el servidor que transmite o activa la cookie; igualmente hay que manifestar el plazo de validez de la misma o de efectos en el tiempo de la misma, e informar de si la aceptación de la misma es necesaria para algo, y en qué podría afectar la negativa a aceptarla. Por otro lado, si la cookie recoge o recaba datos que se pudiesen considerar como de carácter personal, habría que llevar a cabo la inscripción del correspondiente fichero informático ante el Registro General de Protección de Datos, así como elaborar – y aplicar, claro está – las correspondientes medidas de seguridad, aparte de solicitar el consentimiento de la persona de la cual se obtengan los datos. Como ejemplo práctico de medidas de seguridad que habría que aplicar, está la de que, si por ejemplo recabamos datos referentes a la salud o vida sexual, los mismos, en su tránsito desde el ordenador del usuario hasta el servidor de la web que visita, han de ir cifrados, lo cual implicaría tener que usar lo que se llama un certificado de servidor ( un certificado digital para sitios web o páginas web ). ¿ Qué otras obligaciones hay ? Pues, aparte de lo expuesto, hay que advertir al usuario que le asisten determinados derechos en relación a la información que, de carácter personal, se obtiene a su través por medio de las cookies, como son los de acceso, cancelación, rectificación y oposición, especificándole de manera clara, sencilla y gratuita, cómo puede ejercitar los mismos, ante qué instancia, y en qué plazo. También, y simultáneamente a lo anterior, incumbe la obligación de no ceder a terceras personas los datos obtenidos con las cookies, lo cual se incumple de una forma más que sistemática en muchísimas ocasiones. Suele ser habitual, y sobre todo en relación al mundo del marketing, compartir o vender dichos datos, para lo cual se requiere la autorización expresa del afectado. No olvidemos que muchas veces, entre otras informaciones, una de las que se puede obtener es la de la dirección e-mail, dato éste de gran importancia en el mundo de la mercadotecnia cuando, además, y asociado a él, conocemos los hábitos de consumo del titular del mismo. No está de más comentar, como anécdota tal vez graciosa o no muy creíble para el lector, pero que profesionalmente se da con cierta frecuencia y no es nada agradable para el que protagonice la historia, que es la de un empresario de Internet que acude a un abogado experto en estas lides con el fin de que le adapta su web site a la LOPD, y es sólo en ese momento en el que descubre – generalmente para la aplicación del carrito de la compra - que su portal posee cookies, y en su momento no lo sabía. Conclusión : Ha estado un montón de tiempo incumpliendo muy posiblemente la ley, arriesgándose a ser objeto de sanción, y sin saberlo ( créanlo o no, ocurre de vez en cuando ). ¿ Qué otro peligro puede haber con su uso ? Uno, habitual también por desgracia, es el siguiente : La
cookie va al ordenador del visitante o cliente ( con o sin su autorización
), pero ... la información recabada, una vez viaja hacia
el servidor, resulta que éste no está en España,
ni aún siquiera en la Unión Europea, ni tampoco en
países con el visto bueno ante la Agencia de Protección
de Datos, pero está en Estados Unidos. Con este país
se da la paradoja de que no está en la lista de países
permitidos, salvo que se trate de una empresa USA que está
en la lista de lo que se denomina Puerto Seguro. En la praxis, el
dato real es que son poquísimas las empresas norteamericanas
que están en dicha relación, lo cual quiere decir
que lo habitual es que se está llevando a cabo una transferencia
internacional de datos, y para ello se requiere, como norma general,
la autorización del Director de la Agencia de Protección
de Datos, y en caso contrario : sanción. |
« Índice « Anterior |