El contacto con el entorno digital forma parte de nuestro día a día, más aún en el contexto actual que se ha generado a raíz del COVID-19. Así, las empresas buscan constantemente formas de potenciar sus canales digitales para adecuarse a las necesidades de sus clientes, así como para promocionar sus productos o servicios en el mercado.
Una de las herramientas más utilizadas para lograr dicho objetivo son las cookies. Sin embargo, el uso de estas herramientas debe ir de la mano con el conocimiento de las obligaciones existentes en protección de datos personales. De lo contrario, se pueden generar contingencias para las empresas de hasta 100 UIT (USD 125,000.00 aproximadamente).
- ¿Qué son las cookies y cómo funcionan?
Las cookies, incluidas en el grupo de rastreadores, son pequeños archivos de texto que se guardan en los navegadores de los dispositivos con acceso a Internet y que registran información sobre la actividad del usuario en un sitio web determinado.
Las funcionalidades de las cookies son vastas. Tenemos, por ejemplo, las cookies de preferencias o personalización que permiten almacenar información del usuario para mejorar su experiencia de navegación en una siguiente oportunidad. Tenemos también las cookies de publicidad comportamental que recopilan información sobre hábitos de los usuarios para personalizar la publicidad en base a sus preferencias. Estas últimas resultan en la actualidad, uno de los instrumentos más importantes para el marketing de productos o servicios en los canales digitales.
- ¿Cómo se vinculan las cookies con los datos personales?
En ciertas ocasiones el uso de cookies podría implicar un tratamiento de datos personales. Ello ocurre cuando a partir de estas resulta posible identificar a los usuarios de las páginas web, por ejemplo, a través de su nombre, e-mail, o algún identificador único que permita distinguir a unos usuarios de otros y realizar un seguimiento individualizado de estos (como un ID de publicidad).
- ¿Qué viene haciendo la autoridad encargada de la protección de los datos personales?
Teniendo en cuenta la vinculación que existe entre el uso de cookies y los datos personales, durante los últimos meses, la Autoridad Nacional de Protección de Datos Personales (la “ANPDP”) viene fiscalizando a empresas que cuentan con páginas web, mediante un software denominado cookiebot, y revisa cuántas y qué tipo de cookies son utilizadas en estos sitios.
Así, se supervisa, entre otros aspectos, si las empresas han cumplido con brindar a los usuarios la información que exige la legislación, de forma previa a la recopilación de sus datos personales, o si han obtenido adecuadamente el consentimiento de los usuarios, de ser el caso. De llegar a determinar que no se cumplen con dichas obligaciones, la ANPDP podría iniciar un procedimiento sancionador de oficio en el cual, según se ha indicado, se pueden imponer multas de hasta 100 UIT, además de medidas correctivas.
- ¿Existe algún parámetro que puedan observar las empresas?
A la fecha no existe en nuestro país un antecedente que oriente a las empresas fiscalizadas sobre cómo adecuarse a la normativa de datos personales al utilizar cookies en sus sitios web. Ello, a pesar de que la especialidad y tecnicidad en el uso de cookies así lo requiere.
De hecho, en otras jurisdicciones se han reconocido las dificultades que presentan las novedades del entorno digital y su incidencia en la privacidad del usuario, motivo que ha generado la publicación de guías y/o lineamientos que desarrollan dichos aspectos.[1] Así, por ejemplo, se buscó orientar a las empresas sobre la modalidad idónea para requerir el consentimiento del usuario, la información que deberá ser proporcionada al usuario, entre otros.
- ¿Qué problemas se generan ante la ausencia de lineamientos sobre el tratamiento de datos personales recopilados a través de cookies?
Las empresas fiscalizadas deberán remitirse a la regulación general de datos personales, esto es, la Ley N° 29733, Ley de Protección de Datos Personales, y el Decreto Supremo N° 003-2013-JUS, Reglamento de la Ley, a efectos de adecuarse a lo requerido por la ANPDP.
Sin embargo, las disposiciones incluidas en estos cuerpos normativos resultan insuficientes, teniendo en consideración la naturaleza técnica de las cookies. A modo de ejemplo, podrían surgir -cuando menos- las siguientes interrogantes: ¿puede entenderse que la navegación del usuario es una conducta que evidencia su consentimiento para la recopilación de sus datos personales a través de cookies? En todo caso, ¿cuál es el modo idóneo de requerir el consentimiento? ¿cómo informar de manera sencilla al usuario sobre un tema que involucra un alto nivel de especialización en el uso de este tipo de herramientas?
Sin una posición clara por parte de la ANPDP sobre estos aspectos, las empresas fiscalizadas se encontrarán en incertidumbre sobre cómo solicitar el respectivo consentimiento, de corresponder, o cómo informar debidamente al usuario.
- Conclusión
Si bien la ANPDP se encuentra facultada para supervisar el cumplimiento de la normativa de datos personales, resulta trascendental que desarrolle lineamientos específicos sobre el uso de cookies, tal como ha sucedido en otras jurisdicciones (e.g. para identificar las cookies que se encuentran dentro de su ámbito de aplicación, las obligaciones que deben observarse y sugerir formas de dar cumplimiento a estas). Solo de esta forma las empresas podrán adecuarse y tener certeza que su actuación es acorde a la normativa de la materia.
[1] Así, por ejemplo, en España, la Agencia Española de Protección de Datos publicó en julio del 2020 la “Guía sobre el uso de las cookies”, mientras que en México, se cuenta con el documento oficial “Lineamientos del Aviso de Privacidad”. Ambos documentos proponen soluciones sobre cómo cumplir con las obligaciones previstas en sus respectivos cuerpos normativos relacionadas al uso de cookies.