1.- INTRODUCCIÓN

“La perspectiva legal de las cookies”

Pedro Grimalt ServeraProfesor titular de Derecho Civil

Salamanca, 3 de julio de 2002

Centro de Estudios de Derecho e Informática de Baleares Universitat de les illes Balears

1.- INTRODUCCIÓN

Finalidad de la LOPDP

“Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar” (art. 1 LOPDP)

Ámbito de aplicación LOPDP (I)

“Los datos de carácter personal registrados en soporte físico, que los haga susceptibles de

tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores

público y privado” (art. 2.1).

Ámbito de aplicación. Cuestiones relevantes

1.- Se aplica a los ficheros manuales y automatizados.

2.- ¿Se aplica a todos los tratamientos manuales y automatizados?– “Expediente”– Mero tratamiento.

3.- Algunos ficheros excluidos

SUJETOS

1.- El que pretende tratar datos de otra persona, al que la Ley denomina responsable del fichero o del tratamiento.

2.- Persona cuyos datos son objeto de tratamiento de datos, al que la Ley califica como afectado o interesado.

Afectado o interesado

1.- El afectado (o interesado –son sinónimos-) es una persona física

2.- Persona física identificada o identificable. “Métodos complejos”.

– Nombre– Dni o número de la seguridad social– Colectivos:

Grupo de música Confesión religiosa

– Voz de una persona– Datos vinculados a una línea telefónica:

El de su casa El de su trabajo Una cabina telefónica

El responsable del fichero

El responsable del fichero, que puede ser una persona física o jurídica, de naturaleza pública o privada, u órgano administrativo,

Es el sujeto que decide sobre la finalidad, contenido y uso del tratamiento.

Importancia: – Derechos– Deberes– Responsabilidad civil y administrativa

La Agencia de Protección de datos

Es un ente de derecho público independiente. Principales funciones:

– velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación/ inspeccionar los ficheros

– ejercer la potestad sancionadora

PRINCIPIOS

Finalidad del tratamiento Racionalidad Congruencia Exactitud Autodeterminación

Finalidad del tratamiento

1.- La finalidad tiene que ser explícita, legítima y determinada.

2.- Finalidad determinada: no son suficientes definición o descripción general o vaga de la finalidad del fichero (por ejemplo, el fichero tiene “ fines comerciales”)– ¿Fines publicitarios?– ¿Clientes?; ¿proveedores?

Racionalidad

Datos tienen que ser adecuados, pertinentes y no excesivos en relación con la finalidad del fichero (tratamiento)– Fichero: “enviar publicidad automóviles”– Fichero: “nóminas de los trabajadores”

Congruencia

Los datos no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos– Fichero: “enviar publicidad automóviles”– Fichero: “nóminas de los trabajadores”

Exactitud (I)

Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

“Pedro, cuando tenía diez años, para defender a su hermana, empujó a Juan y le rompió un brazo”

Exactitud (II)

Fichero policial: finalidad evaluar el grado de agresividad de los aspirantes al Cuerpo Nacional de Policía. Pedro empujó a Juan y le rompió el brazo– ¿dato veraz en relación con la finalidad?– Contexto.– Tiempo (derecho al olvido).

Autodeterminación (Forma)

1.- Ideología, religión, creencias: expreso y por escrito.

2.- Raza, salud, vida sexual: expreso. 3.- Excepciones:

– Fuentes accesibles al público– Necesarios negocio.

4.- Resto: ¿tácito?

Autodeterminación (características)

1.- Libre. Condiciones generales. 2.- Inequívoco. 3.- Informado (informado de qué: finalidad y

responsable) 4.- Específico (para esa finalidad y para ese

responsable)

Deberes del responsable del fichero

1.- Deber de informar 2.- Deber de seguridad. 3.- Notificación de los ficheros a la Agencia de

Protección de Datos.

2.- COOKIES: CARACTERÍSTICAS

M. Payeras

Cookies: especificaciones (I).

Cadena de información alfanumérica formada per campos específicos.

Depositada por servidor en el disco duro del cliente durante una visita del cliente y que posibilitará el acceso del servidor a la informació en accesos posteriores.

Son específicas de un servidor. Se guardan en un fichero de texto. No pueden acceder a los archivos del disco.

M. Payeras

Cookies: especificaciones (2)

Formadas por unos campos estándard:

– NAME = Valor. Información que se guarda.

– EXPIRES = Fecha de caducidad. Si no tiene, la cookie sólo será válida en la sessión actual.

– DOMAIN = Dominio del creador del cookie. Sólo los servidor de este dominio podrán acceder a la cookie.

M. Payeras

Cookies: ¿qué pueden hacer?

Personalizar portales y comercios Incorporación de nombres de usuarios y de

passwords Personalización de la publicidad en función de

los hábitos de navegación Etc...

M. Payeras

Cookies: ¿qué no pueden hacer?

Por sus características, no pueden utilizarse como virus.

La cookie permite recoger fundamentalmente datos recogidos la navegación del usuario o que éste introduce en formularios; no es capaz de averiguar datos que el usuario no proporcione a través de alguno de estos métodos.

3. COOKIES Y LOPDCP

La cookie como tratamiento de datos personalesRecepción de cookies: consentiment.oMantenimento de la informació. Tratamiento de la información.

M. Payeras

Fichero “cookies.txt” del Netscape

M. Payeras

Carpeta “cookies” del Explorer.

La aplicación de la LOPDP a las cookies (I)

La aplicación de la LOPDP exige un tratamiento de datos personales.

¿Puede calificarse una cookie como tratamiento de datos?

– Fichero de datos: “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”

– ¿Expediente?– Mero tratamiento

La aplicación de la LOPDP a las cookies (II).

Personas identificables (i)– 1.- casos en los que, a través de la cookie, por las razones

que sea, se conoce el nombre del usuario, el documento nacional de identidad (imaginemos un caso en el que se hace una compra en la red), el número de tarjeta de crédito, el domicilio del usuario

– 2.- la cookie permite conocer un dato personal que no permite identificar inmediatamente a la persona física, pero sí que la hace identificable. Este supuesto se daría en aquellos casos en los que el usuario utiliza un IP estático

La aplicación de la LOPDP a las cookies (II).

Personas identificables (ii)– 3.-datos que sin llegar a considerar los datos como

anónimos, la identificabilidad del usuario resulta compleja; y éste podría ser el supuesto en el que los datos que se obtienen de un concreto usuario no permiten una identificación directa y sólo permiten vincular dichos datos a una IP dinámica

– 4.- cookies anónimas

El consentimiento del afectado (I)

Casos en los que no es necesario el consentimiento. Casos en los que es necesario el consentimiento:

– Aceptación en concreto de las cookies.– Consentimiento obtenido a través de las condiciones

generales– Aceptación por defecto de las cookies– Imposibilidad de acceder a determinadas páginas web si

no se aceptan las cookies

M. Payeras

Aceptación en concreto de las cookies

¿Finalidad del fichero?

¿Responsable del tratamiento?

¿El deber de informar?

El consentimiento del afectado (II)



generales.– Aceptación por defecto de las cookies– Imposibilidad de acceder a determinadas páginas web si


El consentimiento del afectado (III)



generales.– Aceptación por defecto de las cookies.– Imposibilidad de acceder a determinadas páginas web si


M. Payeras

Aceptación por defecto del usuario (I)

El navegador del usuario permite el ajuste de la característica de consentimento de recepció de cookies.

Las tres opciones existentes son:– Aceptación total.– Rechazo selectivo.– Rechazo total.

Opción por defecto: acceptación total – El desconeixemento de las alternativas no permite hacer los

cambios.– no se conoce que esta opción esté seleccionada porque no se

tienen indicios de la recepción de cookies.

Aceptación por defecto del usuario (II)

¿Se puede equiparar la aceptación por defecto al consentimiento por silencio?: no

– Estaríamos ante un consentimiento no informado;

– No existe razón ténica alguna para que el navegador no se configure de forma distinta (¿abuso?); esto es, que la opción por defecto sea el rechazo de las cookies.

M. Payeras/P. Grimalt

Aceptación por defecto del usuario (III): rechazo total

Si se sustituye la por opción por defecto i se rechazan las cookies, algunos servidores dejan de funcionar.

Otros servicios no aceptarán los accesos de los usuarios aunque podrían funcionar sin cookies.

Conclusión: se condiciona al usuario para que acepte las cookies.

Licitud de esta conducta:– Derecho a la intimidad más libertad de información– Abuso del derecho– Cada caso concreto; valorar los distintos intereses en juego.

Mantenimiento y tratamiento de la información

Principio de exactitud. Principio de racionalidad Principio de finalidad.

M. Payeras/P. Grimalt

Mantenimiento y tratamiento de la información (II)

Una cookie tiene asociado un periodo de vigencia. Si no se especifica el periodo de vigencia, la cookie sólo será

válida durante una concreta sesión. Cookies permanentes:

– Validas hasta su caducidad.– Pueden ser válidas durante un periodo “muy largo”.

PROBLEMAS:– Principio de racionalidad.– Principio de exactitud.

Independientemente de la fecha de caducidad, el usuario puede eliminar las cookies de su disco duro.

Cookies i hábitos de navegación

La lectura de la carpeta de cookies permite reconocer los habitos de navegación del usuario.

Mantenimiento y tratamiento de la información (IV)

“Hábitos del consumidor”: ¿finalidad determinada?

Principio de racionalidad.

Uso de cookies en la publicidad (IV)

Gestión de banners publicitaris.

Uso de cookies en la publicidad (I)

Es uno de los usos mas extendidos de las cookies.

Objetivos:– Personalización de la publicidad de las barras

publicitarias incluidas en las web.– Hacer más efectiva la publicidad.– Controlar el seguimento que es hace de la

publicidad.

M. Payeras

Gestión de banners publicitarios.

Las compañías publicitarias por sí solas no pueden recoger la información necesaria sobre las preferencies de los usuarios.

Utilizan los servicios ofrecidos por otras entitades, como cercadors.

– para recopilar información.– para enseñar las barras publicitarias.

M. Payeras

Ejemplo.

1. El usuario visita un buscador. 2. Inicia una búsqueda. 3. Recibe una cookie de otro servidor: el gestor

de publicidad. 4. El gestor elige la publicidad en función de

los hábitos. 5. Se incloye una barra publicitaria.

Los banners publicitarios (I)

1.- la cookie tiene que tener una finalidad determinada

2.- que el servidor que gestiona el banner obtenga el consentimiento del afectado, que deberá tener una forma u otra en función de los datos que se piensan recabar; el servidor que gestiona el banner publicitario debe cumplir, además, con el deber de informar;

Los banners publicitarios (II)

3.- que el servidor que gestiona el banner publicitario respete los principios de racionalidad y de congruencia

4.- si los datos obtenidos por el servidor que gestiona el banner publicitario son cedidos por éste a terceros para que éstos utilicen dicha información, que se consiga el consentimiento del afectado (usuario) –art. 11 LOPDP-.

1.- INTRODUCCIÓN

Documents

Transcript of 1.- INTRODUCCIÓN