En un caso reciente, el Tribunal de Justicia de la UE dictaminó que los "datos" que pueden revelar "datos sensibles" deben considerarse "datos sensibles".
A partir de este punto, los datos de las cookies siempre se han tratado como datos personales en virtud del GDPR y no como datos sensibles. Pero, ¿y si las cookies se consideraran realmente datos sensibles a la luz de esta sentencia? ¿Cuáles serían las implicaciones?
En este artículo, explicamos por qué este escenario no es descabellado y por qué afectaría profundamente a la forma en que utilizamos las cookies.
- ¿De qué trata el caso?
- ¿Qué significa la sentencia?
- Implicaciones prácticas
- ¿Qué significa esto para las cookies?
- Reflexiones finales
Entremos en materia
¿De qué trata el caso?
El caso en cuestión fue presentado por el director de un establecimiento lituano que recibía financiación pública. En virtud de la ley lituana sobre conflicto de intereses, se le exigió que facilitara cierta información personal -incluido el nombre de su cónyuge- a una Comisión de Ética para su publicación.
El director se negó a facilitar la información. Alegó que divulgar el nombre de su pareja en un sitio web de acceso público revelaría indirectamente su orientación sexual, que constituye un dato sensible con arreglo al RGPD.
Llevó su caso a un tribunal administrativo y más tarde aterrizó en el Tribunal de Justicia de la UE para una decisión prejudicial. El Tribunal dictaminó finalmente que los datos de los que pueden deducirse datos sensibles deben tratarse a su vez como datos sensibles con arreglo al RGPD. 1
¿Qué significa la sentencia?
El RGPD protege los datos personales en general, pero establece normas más estrictas para las categorías de datos especialmente sensibles, como los datos sanitarios, las opiniones políticas, las creencias religiosas y la orientación sexual2. 2 Como señaló explícitamente el Tribunal, el nombre de una persona no es, en sí mismo, un dato sensible. Sin embargo, esos datos pueden revelar la orientación sexual de la persona, que sí es un dato sensible. Por esta razón, el Tribunal consideró que el nombre de la pareja de una persona podía considerarse un dato sensible.
Esta sentencia abre una gran caja de Pandora. Muchísimos datos personales no son sensibles en sí mismos, pero pueden revelar información sensible.
Implicaciones prácticas
En la actualidad, el sector de la publicidad en línea recopila enormes cantidades de datos para elaborar perfiles de los usuarios de Internet con vistas a anuncios personalizados, algunos de los cuales se dirigen a los usuarios en función de su orientación sexual, estado de salud y creencias políticas (o por aproximaciones fiables de tales propiedades sensibles).
Es difícil creer que ninguno de los datos procesados para este tipo de publicidad sea susceptible de revelar información sensible. Esto es especialmente cierto en el caso de grandes empresas tecnológicas basadas en datos, como Google o Facebook. Cuando se combinan grandes cantidades de datos personales y se introducen en sus sofisticados algoritmos basados en inteligencia artificial, incluso la información aparentemente "neutra" puede revelar datos sensibles sobre un usuario.
El impacto de esta sentencia puede no limitarse a las grandes empresas tecnológicas. Digamos que un sitio web procesa cookies de terceros. Los hábitos de navegación de un usuario no son datos sensibles en sí mismos, pero es fácil pensar en ejemplos en los que se pueden extraer inferencias sensibles de ellos. ¿Qué pasaría si el usuario visitara sitios web informativos sobre enfermedades específicas, comunidades en línea relacionadas con la salud mental o sitios web que albergan pornografía? ¿Y qué pasa con las cookies de origen procesadas por esos "sitios web sensibles"?
Ahora mismo, es difícil adivinar la amplitud con que se aplicará la sentencia en la jurisprudencia futura. Pero a la luz del razonamiento del Tribunal, es difícil sostener que no se traten datos sensibles en ninguno de los supuestos anteriores.
Esto también se aplica a la divulgación de los datos a terceros: si un sitio web tratara datos sensibles de cookies a través de Google Analytics, el sitio web y Google serían, respectivamente, el responsable y el encargado del tratamiento de los datos sensibles.
¿Qué significa esto para las cookies?
Más datos pueden considerarse sensibles y estarán sujetos a normas más estrictas en virtud del GDPR. De hecho, algunas operaciones de tratamiento de datos pueden dejar de ser lícitas en virtud de la normativa más estricta para los datos sensibles.
Si los datos de las cookies -o al menos algunos de ellos- se consideraran datos sensibles, requerirían el consentimiento explícito del usuario 3, es decir, una forma "reforzada" de consentimiento "básico" con arreglo al RGPD. Hay otras formas de cumplir la normativa, pero desde un punto de vista práctico, obtener el consentimiento explícito del usuario será la única opción en la mayoría de los casos.
Esto puede no parecer un gran problema, ya que el consentimiento del usuario ya es obligatorio para las cookies en virtud de la Directiva sobre privacidad electrónica. 4 Sin embargo, el consentimiento de las cookies se recopila de formas que... no son ideales, por no decir otra cosa. La "fatiga de cookies" es un fenómeno bien conocido que lleva a la mayoría de los usuarios a aceptar las políticas de cookies sin ni siquiera hacer clic en ellas, y mucho menos leerlas. Además, muchos banners de cookies utilizan diseños engañosos para que al usuario le resulte lo más molesto posible negar su consentimiento. Dado el requisito general del GDPR de que el consentimiento sea libre e informado 5, estas prácticas son problemáticas, por decirlo suavemente.
Si en el futuro las cookies -o al menos las cookies de determinados sitios web- exigieran un consentimiento explícito, las autoridades supervisoras podrían adoptar una postura más estricta sobre las cookies en general y empezar a tomarse más en serio los requisitos de consentimiento "básico". Incluso si las autoridades no llegan a exigir el consentimiento explícito, la reciente sentencia y el debate que ha suscitado podrían poner de relieve las numerosas deficiencias de la implantación de las cookies.
Reflexiones finales
Por el momento, nadie puede evaluar con exactitud el impacto futuro de la sentencia, ya que aún no existen orientaciones ni otra jurisprudencia. No tenemos una bola de cristal, pero tenemos buenas razones para creer que esta sentencia provocará grandes olas en el panorama jurídico.
Tanto si la sentencia se adopta en sentido amplio como si no, creemos que no se trata solo de cumplir la ley. Va más allá. Creemos que todos los propietarios de sitios web deben respetar la privacidad de sus visitantes.
Creemos en la creación de una web independiente que sea amable con los visitantes de los sitios web. Por eso hemos creado Simple Analytics, una alternativa a Google Analytics que da prioridad a la privacidad, que no requiere cookies por diseño y que no recopila datos personales a la vez que proporciona la información que usted necesita. Si está de acuerdo con esto, no dude en probarlo.
#1 En realidad, el Tribunal se refirió tanto al GDPR como a la antigua Directiva de Protección de Datos en este caso, pero declaró que no hay ninguna diferencia significativa entre los artículos pertinentes del GDPR y la Directiva. Es perfectamente seguro tratar este caso como un caso GDPR, como hacemos en nuestro post [^2]: Art. 9 GDPR. [^3]: Art. 9(2)(a) GDPR. [^4]: Artículo 5, apartado 3, de la Directiva 2002/58, modificada por la Directiva 2009/136. [^5]: Artículo 4(11) del GDPR.