Hoy hacemos un repaso intensivo a un tema recurrente: gestión de cookies en el espacio multijurisdiccional que afecta a la mayor parte de las organizaciones, mirando de frente a los riesgos que puede suponer para un negocio digital sepultar la cabeza en la arena de los hábitos que han venido a popularizarse en el mercado español. 

Habiendo dejado muy atrás diversos intentos para evitar un internet minado de absurdas interrupciones en nombre del recabado de «consentimiento» (P3P, Do Not Track, etc.), parece haber quedado en manos de los fabricantes de navegadores la medida definitiva que podrá devolvernos el sueño original mediante la obsolescencia directa de cookies no imprescindibles. Por el camino habremos invertido incontables horas y muchos miles de millones de euros en buscar la adecuación de webs a una normativa que muchos siguen considerando absurda.

Toda conclusión será, por tanto, a lo sumo, transitoria. Pero no por ello menos necesaria en tiempos altamente cambiantes para la relación entre particulares, empresas y medios digitales. 

Con una audiencia medianamente familiarizada con el marco legal aplicable en mente, hablaremos, por este orden, de: tipos de cookies por nivel de intrusión; origen técnico e histórico de las cookies; normativa aplicable en Estados Unidos (federal y California); evolución comparada en la Unión Europea, España y Reino Unido; directrices comunitarias y nacionales (AEPD, ICO, CNIL, CAAS); jurisprudencia TJUE; sanciones hasta la fecha; diferenciación de cookies analíticas en el borrador de Reglamento ePrivacy; y estudios actualizados sobre niveles de cumplimiento e impacto de patrones oscuros en el recabado de consentimiento. Casi nada.

El contenido de este podcast no constituirá en ningún caso asesoramiento legal, quedando cualquier decisión emanada del mismo bajo tu propia responsabilidad. 

Presentador:

Sergio Maldonado es LLM (Merit) en IT & Internet law por Queen Mary’s University, abogado (ICAM), ex solicitor (Law Society of England & Wales), Coautor de «Internet, claves legales para la empresa» (Thomson-Civitas/Aranzadi, 2002), ex miembro del grupo de trabajo LegalXML-eContracts de la W3C, CIPP-E (International Association of Privacy Professionals). También es fundador de PrivacyCloud, Sweetspot Intelligence (hoy ClickDimensions) y Divisadero (hoy Merkle).

Referencias:

• Dictamen 4/2012 del WP29 (EN)
• Ley Nigeriana de Protección de Datos
• Ley Coreana de Protección de Datos (PIPA)
• Children’s Online Privacy Protection Act (COPPA)
• California Consumer Privacy Act (CCPA)
• IETF – HTTP Status RFC 2965
• Sesiones de trabajo sobre cookies de la FTC 1996 («Consumer Privacy on the Global Information Infrastructure»)
• P3P (Platform for Privacy Preferences)
• Propuesta «Do Not Track» (IETF)
• Directiva ePrivacy (modificación del 2009 a la directiva ePrivacy 2002)
• Ley de servicios de la sociedad de la información (LSSI)
• The UK Privacy and Electronic Communications Regulations 2003 
• Reglamento General de Protección de Datos (GDPR)
• Sentencia Planet49 del Tribunal de Justicia de la Unión Europea
• Directrices sobre consentimiento del Comité Europeo de Protección de Datos (2018)
• Guía de cookies de la Agencia Española de Protección de Datos (2019)
• Directrices CNIL aplicables al uso de cookies analíticas (FR)
• Borrador del Reglamento ePrivacy 
• Estudio MIT/UCL/Aarhus 2020 sobre consentimiento y patrones oscuros
• Estudio Ruhr-Michigan 2019 sobre consentimiento y cookies («Uninformed consent»)