La Agencia Española de Protección de Datos ha publicado unas Orientaciones sobre cookies y analítica web en portales de las Administraciones Públicas en el que se detallan las principales obligaciones de las Administraciones Públicas en cuanto al uso de cookies en sus páginas webs, así como el empleo de herramientas de analítica web, y el uso de información de los terminales de los usuarios, todo ello, sin perjuicio de lo que anteriormente estableció sobre el uso de las cookies.
En el ámbito de Internet y de las páginas web nos encontramos con varias normas de conviven y se complementan: el Reglamento General de Protección de Datos (RGPD) junto a la LOPDGDD, y la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de Comercio electrónico (LSSI).
La LSSI se aplica a los prestadores de servicios de la sociedad de la información establecidos en España, y se refiere a ellos como aquellos servicios, gratuitos u onerosos, que se presten a distancia, por vía electrónica y a petición del interesado.
Pero no todos los portales webs tienen la consideración de prestadores de servicios de la sociedad de la información, por lo tanto, la regulación de las cookies (que recordemos que se utilizan para almacenar información que obtiene por medio de los terminales de los usuarios a través de los dispositivos de almacenamiento) variará en función del marco en el se usen, esto es, unas veces se regulará por la LSSI y otras se aplicará el RGPD y la LOPDGDD, o puede darse la situación de que se apliquen las tres.
Por tanto, si se tratan datos personales se aplicará la normativa de protección de datos y, además, la LSSI, en el caso de que sea un prestador de servicio de la sociedad de la información, y si no se tratan datos personales, se aplicará únicamente la LSSI.
La Administración Pública por “el hecho de tener un portal web o dar servicios a través de internet no siempre será considerada como un prestador de servicios de la sociedad de la información”, por lo que tampoco será considerado un sujeto obligado de la LSSI, como por ejemplo, especifica la AEPD, una web de una Administraciones Públicas en la que no se presten servicios que impliquen una actividad económica, por el contrario sí será un sujeto obligado si se llevan a cabo actividades económicas ajenas a su actividad típica (gestión electrónica de tributos cobro de tasas por servicios públicos, etc.), como por ejemplo, la venta de libros o de entradas a eventos, conciertos, etc.
La AEPD orienta a las Administraciones Públicas y llega a las siguientes conclusiones en función de las características de la web de la AAPP:
“PORTAL WEB DE UNA ADMINISTRACIÓN PÚBLICA QUE NO TENGA CONSIDERACIÓN DE SERVICIO DE LA SOCIEDAD DE LA INFORMACIÓN NI TRATE MEDIANTE COOKIES DATOS DE CARÁCTER PERSONAL”
A una Administración Pública que no tenga consideración de prestador de servicio de la sociedad de la información no le es aplicable la LSSI. Si, además, opta por utilizar cookies sin tratamiento de datos personales o directamente no utilizar ninguna tecnología catalogada como cookies, dicha actividad no entrará en el ámbito material ni del RGPD ni de la LSSI (en cuanto compete a la AEPD). Por lo tanto, no será obligatorio obtener el consentimiento para el uso de las cookies, ni informar a los interesados mediante políticas de cookies o de privacidad, ni cumplir cualquier otra obligación. El incorporar políticas de información innecesarias puede confundir y conducir a la fatiga informativa del usuario.”
“PORTAL WEB DE UNA ADMINISTRACIÓN PÚBLICA QUE NO TENGA CONSIDERACIÓN DE SERVICIO DE LA SOCIEDAD DE LA INFORMACIÓN Y SÍ TRATE DATOS DE CARÁCTER PERSONAL MEDIANTE LA UTILIZACIÓN DE COOKIES”
A una Administración Pública que no tenga consideración de prestador de servicio de la sociedad de la información no le es aplicable la LSSI. Si utiliza información obtenida mediante cookies para la realización de tratamientos de datos personales (por ejemplo, cookies con identificadores únicos), tales tratamientos estarán sometido al RGPD y la LOPDGDD. Esto implica la observancia de todas las obligaciones de la normativa de protección de datos, entre otras, disponer de una base jurídica para realizar el tratamiento, informar a los interesados en la política de privacidad (no en una política de cookies), ofrecer y posibilitar el ejercicio de los derechos a los interesados y establecer las garantías necesarias en caso de transferencias internacionales de datos, sin perjuicio del resto de requisitos de obligado cumplimiento que fueran aplicables a dicho tratamiento.
“PORTAL WEB DE UNA ADMINISTRACIÓN PÚBLICA QUE SÍ TENGA CONSIDERACIÓN DE SERVICIO DE LA SOCIEDAD DE LA INFORMACIÓN”
En el caso de un portal web de una Administración Pública que tenga la consideración de servicio de la sociedad de la información y que utilice cookies, no se da ninguna particularidad con respecto a cualquier otro servicio de la sociedad de la información por el mero hecho de tratarse de una Administración Pública.
Por tanto, en este caso hay que remitirse a la totalidad de lo indicado en la Guía sobre el uso de las cookies de la AEPD. Además, si la información obtenida mediante dichas cookies se utiliza para el tratamiento de datos personales, el responsable tendrá que atenerse a lo establecido en la normativa de protección de datos en todo aquello en que no existan garantías específicas reguladas en la LSSI, entre otras obligaciones, y sin carácter de exhaustividad, el cumplimiento del principio de responsabilidad proactiva y de limitación del tratamiento, ofrecer garantías en caso de transferencias internacionales de datos y la obligación de contrato entre responsable y encargado del tratamiento que, en su caso, incluya garantías para la intervención de subencargados del tratamiento.”
Únicamente cuando preste un servicio a petición individual de un usuario, a título oneroso o no, a distancia y por vía electrónica, y que, además, constituya una actividad económica
En la mayoría de los supuestos, los portales webs de las Administraciones Públicas estarán regulados por la normativa de protección de datos, salvo que las cookies no almacenen datos, en cuyo caso, incorporar políticas de información innecesarias puede confundir al usuario.
Por otro lado, en las páginas web de las Administraciones Públicas es posible utilizar servicios de terceros, (como pueden ser captchas, vídeos o mapas), y estos servicios pueden incrustarse en el portal web de la AAPP o incluirse en forma de enlace que redirija a la página web del tercero, según la modalidad por la que se opte, la Administración Pública tendrá unas obligaciones u otras. Si opta por la opción de redirigir, “no tendrá, entre otras, obligación de informar o de disponer de una base jurídica para el tratamiento de datos”. En estos casos, la AEPD recomienda a las Administraciones Públicas advertir al usuario, con carácter previo, de que va a acceder a un servicio fuera de la web de dicha Administración Pública con tratamientos y políticas de protección de datos propias, de forma que el usuario pueda decidir libremente si quiere continuar y acceder a tales enlaces o no.
Por último, las herramientas de analítica web son muy valiosas porque permiten extraer información sobre el uso de un portal web, y existen muchas herramientas distintas. Por ejemplo, no todas las herramientas de analítica web necesitan cookies para funcionar y no todas las herramientas de analítica web tratan datos personales, algunas funcionalidades adicionales pueden implicar tratamientos de datos personales, incurrir en los supuestos de aplicación de la LSSI e introducir riesgos para la privacidad de los usuarios. Existen soluciones técnicas que permite disponer de un servicio de analítica web completo sin que implique tratamientos de datos personales, o incurrir en supuestos que suponen que la Administración sea considerada prestador de servicio de la sociedad de la información.
Estas "ORIENTACIONES SOBRE COOKIES Y ANALÍTICA WEB EN PORTALES DE LAS ADMINISTRACIONES PÚBLICAS" que publica al AEPD tienen la finalidad de informar sobre el uso de las cookies para los portales web de las Administraciones Públicas y que van a suponer un cambio en la mayoría de las políticas de cookies publicadas en sus webs, puesto que, en la gran mayoría de ellas no van a tener la consideración de prestadores de servicios, por lo que deberán modificar el apartado que tienen actualmente de política de cookies, eliminando el mismo e incluyendo la información de las cookies cuando traten datos de carácter personal según la normativa de protección de datos en el apartado de política de privacidad.
Consulte a nuestros profesionales para ver si su política de cookies es la adecuada a tenor de las nuevas recomendaciones de la Agencia Española de Protección de Datos. Unive Abogados ofrece y presta servicio de todas aquellas tareas relacionadas con la implantación al Reglamento Europeo de Protección de Datos y a la LOPDGDD, para que las AAPP, de cualquier ámbito, se encuentren adaptadas y cumplan la normativa de protección de datos. A su vez, ofrecemos la posibilidad de asumir la función de Delegado de Protección de Datos, ya que disponemos de profesionales con conocimientos especializados en materia de protección de datos y compliance.
Realice su consulta de forma totalmente gratuita. Nos pondremos en contacto con usted