Lima, abril de 2023.- Cuando navegamos por internet e ingresamos a un sitio web de nuestro interés, nos aparecen los mensajes “aceptar o denegar cookies”. Un click en cualquiera de estas opciones definirá y limitará el tratamiento de nuestros datos personales —obtenidos y almacenados por un tercero— en la interacción con dicho sitio web a través del uso de “cookies” (archivos de datos).
Es así como las cookies, al ser una herramienta de captación de datos de los usuarios en internet, configuran, a nivel legal, un aspecto relevante en materia de protección de datos personales que atañe tanto a usuarios (a nivel de derechos) como a las entidades (privadas o públicas) titulares de los sitios web o administradores de las cookies (a nivel de obligaciones), explica Willy Pedreschi, socio de Miranda & Amado.
Pero ¿qué son las cookies y por qué se solicita su aceptación desde una perspectiva de datos personales? El abogado detalla que son archivos que se descargan en los equipos (computadoras, dispositivos móviles, entre otros) al momento de visitar un sitio web, con la finalidad de almacenar datos que podrán ser actualizados y recuperados por la entidad responsable de su instalación. “En otras palabras, cada vez que visitamos un sitio web que utiliza cookies, en nuestro equipo se descarga un archivo que almacena datos sobre nuestra interacción con dicho sitio. La entidad responsable de este archivo o cookie puede utilizar dicha información con diversas finalidades: optimizar nuestra experiencia en el sitio web la próxima vez que entremos, personalizar la publicidad que se nos muestra, etc.”, precisa.
Según la entidad que gestione las cookies, se pueden encontrar cookies propias (gestionadas por la entidad responsable del sitio web) y de terceros (gestionadas por entidades distintas al responsable del sitio web). Asimismo, de acuerdo a su finalidad, existen cookies necesarias (permiten que los sitios web sean utilizables, puesto que activan funciones básicas sin las cuales no podrían funcionar adecuadamente); de preferencias (permiten al sitio web recordar determinada información del usuario para perfilar sus patrones de comportamiento o incluso su aspecto, por ejemplo, en lo referido al idioma de preferencia); de estadística (almacenan información con la finalidad de que las entidades responsables de los sitios web conozcan la interacción de sus usuarios en estos sitios); y de márquetin (identifican el perfil del usuario, a efectos de que en lo sucesivo se le muestren anuncios personalizados).
Las cookies y los datos personales
Por otro lado, Fabiana Vittoria y Álvaro Gastañaduí, asociados de Miranda & Amado, señalan que, si bien las cookies son una herramienta de captación de datos en internet, no siempre su uso implica la obtención y almacenamiento de datos personales de los usuarios.
No obstante, en los casos que sí lo haga, habrá un tratamiento de datos personales (cuando se capta, por ejemplo, la dirección IP, hábitos de navegación, etc.), y, de ser así, las entidades titulares de los sitios web deberán observar e implementar las disposiciones legales en materia de protección de datos personales, comentan.
Así, por ejemplo, a través del uso de cookies de marketing se podría captar del usuario datos personales como sus preferencias, con fines publicitarios. En ese sentido, en el supuesto que hagamos click en “aceptar” cookies”, el responsable del tratamiento estará facultado (al haber obtenido el respectivo consentimiento) para tratar nuestros datos personales y utilizarlos para las finalidades autorizadas, dicen.
Cabe recordar que, los datos personales, de acuerdo con Ley 29733, constituyen la información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.
Exigencias legales
Las cookies también traen consigo exigencias legales en materia de protección de datos personales. Los abogados mencionan que para poder efectuar un tratamiento de datos personales vía cookies en cumplimiento de la Ley de Protección de Datos Personales se deberá observar, principalmente, lo siguiente:
- Haber cumplido con el deber de informar y, de ser el caso, contar con el consentimiento del usuario: siempre que las cookies impliquen el tratamiento de datos personales, se debe cumplir con el deber de informar, según lo previsto en el artículo 18 de la Ley de Protección de Datos Personales. Este deber (incluso aplicable para las cookies necesarias) se puede cumplir, por ejemplo, a través de la publicación de una Política de Cookies dentro del sitio web en cuestión. Y, cuando no estemos ante un supuesto de excepción según el artículo 14 de la Ley de Protección de Datos Personales, se deberá contar también con el consentimiento previo, informado, expreso e inequívoco del usuario. A modo de ejemplo, las cookies de márketing exigirán contar con el consentimiento del usuario.
- De corresponder, inscribir el flujo transfronterizo: siempre que las cookies impliquen un envío internacional de datos personales, dicho flujo deberá inscribirse ante el Registro Nacional de Protección de Datos Personales. Sin embargo, será necesario evaluar si estamos ante una cookie propia o de tercero, así como la finalidad de la misma, para determinar de quién es la obligación de inscribir dicho flujo: del responsable del sitio web o del tercero administrador de la cookie.