Las nuevas y necesarias normativas de privacidad y consentimiento están generando un acercamiento forzoso de los profesionales del marketing data hacia el terreno de lo legal e, incluso, de lo ético.
En este contexto, en los últimos meses, una de las primeras cosas en las que me fijo al acercarme a un cliente es cómo de bien o mal tiene resuelto el aviso de cookies, ya que es algo que sin duda interferirá en el posterior proyecto de medición y análisis de datos.
Un caso muy especial es el de las Administraciones e instituciones públicas, como pueden ser ayuntamientos, gobiernos, servicios públicos, universidades, hospitales, etc. Para mi sorpresa inicial, muchos de estos entes carecen siquiera de un mero aviso de cookies.
Pero, ¿es esto lícito? ¿Debería serlo?
Organismos públicos sin aviso de cookies: ¿qué legislación les ampara?
Una de las primeras veces que me fijé en este asunto fue en el caso del Gobierno vasco, concretamente para el dominio “euskadi.eus”, que carece de avisos para el consentimiento. La Sociedad Informática del Gobierno Vasco nos remite a la política de cookies del sitio, donde se lee:
Consentimiento:
Las cookies utilizadas en este sitio web no requieren el consentimiento de la persona usuaria ya que el Gobierno Vasco, por la actividad desarrollada en el mismo, no tiene el carácter de prestador de servicios de la sociedad de la información, tal como aparece definido en el anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Interesante. Tanto este organismo como muchos otros se amparan en que no son “prestadores de servicios” digitales. Pero, ¿quién dice quién es un prestador de servicios? ¿Por qué el resto están exentos de estas prácticas?
Habrá que remitirse a la ley que se cita en ese párrafo, una ley de 2002 conocida como LSSI o Ley de Servicios de la Sociedad de la Información. Tiene más de dos décadas (aunque incluye varias actualizaciones) e incluso el nombre es un poco rancio, sin embargo prevalece sobre el RGPD.
Efectivamente, la ley expresa dentro de su “Ámbito de aplicación”, que:
Esta Ley será de aplicación a los prestadores de servicios de la sociedad de la información establecidos en España y a los servicios prestados por ellos
Y es en ese punto donde llega la controversia, ¿quién es un prestador de servicios de la información? La propia ley contiene un Anexo de “Definiciones” que reza:
A los efectos de esta Ley, se entenderá por:
a) «Servicios de la sociedad de la información» o «servicios»: todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.
El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.
Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes:
- La contratación de bienes o servicios por vía electrónica.
- La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.
- La gestión de compras en la red por grupos de personas.
- El envío de comunicaciones comerciales.
- El suministro de información por vía telemática.
No tendrán la consideración de servicios de la sociedad de la información los que no reúnan las características señaladas en el primer párrafo de este apartado y, en particular, los siguientes:
- Los servicios prestados por medio de telefonía vocal, fax o télex.
- El intercambio de información por medio de correo electrónico u otro medio de comunicación electrónica equivalente para fines ajenos a la actividad económica de quienes lo utilizan.
- Los servicios de radiodifusión televisiva (incluidos los servicios de cuasivídeo a la carta), contemplados en el artículo 3.ª) de la Ley 25/1994, de 12 de julio, por la que se incorpora al ordenamiento jurídico español la Directiva 89/552/CEE, del Consejo, de 3 de octubre, sobre la coordinación de determinadas disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas al ejercicio de actividades de radiodifusión televisiva, o cualquier otra que la sustituya.
- Los servicios de radiodifusión sonora, y
- El teletexto televisivo y otros servicios equivalentes como las guías electrónicas de programas ofrecidas a través de las plataformas televisivas.
Desde el momento en que el mero suministro de información es entendible como servicio, las Administraciones públicas deberían estar incluidas. Sin embargo el asterisco que todo lo cambia es “siempre que representen una actividad económica”.
No vamos a ponernos excesivamente profundos o filosóficos, pero ¿qué es una actividad económica? Se entiende que lo público no debería perseguir un fin lucrativo. Aún así, ¿vender libros online en una universidad pública es una actividad económica? No lo sé.
¿Es correcto desde el punto de vista legal?
Si la información al respecto terminase ahí, quizá la respuesta debería ser que “sí, es legal, estos organismos están exentos —por lo que sea— de todo aviso de cookies”. Sin embargo hay más y muy interesante.
La Agencia Española de Protección de Datos (AEPD) ha compartido, en febrero de 2023, una guía orientativa sobre cookies en portales de Administraciones públicas. Nótese la negrita en la palabra “orientativa”, que aporta una nueva dosis de ambigüedad.
Entre otras cosas, en la sección “Aplicabilidad de la LSSI”, dice lo siguiente:
Una Administración Pública que ofrece servicios en Internet, por ejemplo, a través de un portal web, por el hecho de tenerlo no sería necesariamente considerada como un prestador de servicios de la sociedad de la información y, en consecuencia, como un sujeto obligado de la LSSI.
Determinadas actividades típicas de las Administraciones Públicas, como la gestión electrónica de la recaudación de tributos, la información sobre los servicios de un tercero (por ejemplo, la mera información en la página web de un Ayuntamiento sobre las casas rurales existentes en el término municipal), o el cobro de tasas por un servicio público se consideran actividades públicas o de interés general y, por lo tanto, distintas a la «actividad económica» a la que refiere la LSSI.
En la resolución del expediente (E/08710/2015), consecuencia de la denuncia a un ayuntamiento por utilizar cookies en su página web sin aparecer un aviso sobre las mismas, se estableció que no le era de aplicación la LSSI, toda vez que en la página en Internet del consistorio no aparecía ningún tipo de actividad que pudiera categorizarlo como un prestador de servicios de la sociedad de la información.
Wow. Muy interesante. Las actividades públicas o de interés general no se consideran “actividades económicas” (me pregunto, ¿nunca son económicas?) y un ayuntamiento que usaba cookies sin aviso fue denunciado y no prosperó, al ser declarado como exento de aplicación.
Aún más interesante es el caso de esta universidad pública. El texto que cito a continuación es el que sucede al anteriormente citado:
Sirva también de ejemplo el Informe Jurídico 0083/2014 del Gabinete Jurídico sobre la consulta planteada por una Universidad Pública en el que se establece que, en la práctica, las universidades públicas en la medida que no realicen actividades económicas por medio de las comunicaciones electrónicas —sirviendo únicamente los sitios web para auxilio en la prestación del servicio público de educación superior— no serán prestadores de servicios de la sociedad de la información, por lo que no serían sujetos obligados por el artículo 22.2 de la LSSI.
En este caso ponen un asterisco: “en la medida que no realicen actividades económicas”. Mmm, volviendo a mi ejemplo anterior, ¿vender libros en la web de la universidad pública es una actividad económica? Pues quizá, para variar, tengamos una respuesta para esto.
Siguiendo con la cita de la guía de la AEPD, nos sorprende —o no— lo siguiente:
Sin embargo, si en un dominio o canal perteneciente a una Administración Pública se presta algún tipo de servicio que implique una actividad económica, como la venta de libros, entradas, etc., sí le sería de aplicación la LSSI en aquellos dominios, canales o servicios concretos en los que se lleve a cabo dicha actividad económica, independientemente de si se tratan datos personales o no. Por ejemplo, con relación al informe 0083/2014 antes citado, cuando la actividad del sitio web de una Universidad Pública sí tenga un carácter económico (por ejemplo, la venta de libros o la oferta de títulos propios con sus correspondientes precios) le será aplicable la LSSI.
Muy interesante y muy importante. Esto viene a decir que, si una universidad pública o cualquier otro organismo o ente público tiene una sección transaccional, le será de aplicación la LSSI y, por lo tanto, deberá instalar y configurar correctamente el debido aviso de cookies. En todo el dominio, por supuesto.
Aquí hay derivadas difíciles de resolver, como qué puede ser considerado venta. Es decir, ¿es necesario que haya un proceso de checkout y un pago online? ¿O basta con un formulario de reserva y pago mediante transferencia? ¿Publicitar en digital un producto a la venta —en un lugar físico— cuenta como actividad económica?
Sin embargo, hay un párrafo que me parece definitorio, al menos en su fondo, que no tanto en su forma, dado que, una vez más, aparecen inexactitudes y ambigüedades, tan comunes por otra parte en las documentaciones oficiales sobre temas digitales (siempre por detrás de la tecnología).
Dicho párrafo, que incluye otro interesante ejemplo, dice lo siguiente:
Hay que tener también en cuenta el caso de un portal web de una Administración Pública que permita el uso de cookies de terceros a cambio de la posibilidad de incluir servicios web de terceros en dicho portal. En ese caso, esa actividad podría constituir una actividad económica siempre que dichas herramientas o aplicaciones se ejecuten embebidas en el propio dominio o canal de la Administración Pública. Esto puede ocurrir con algunos servicios de analítica web, los captchas o servicios de verificación de humanos, los vídeos, los mapas y, en general, servicios de terceros que incluyan cookies o tecnologías similares que pueden llevar a cabo tratamientos de datos con finalidades propias y obtener así un beneficio. En esos casos, la Administración Pública será un prestador de servicio de la sociedad de la información y la LSSI será aplicable al portal web en donde se incluyan.
En el informe del gabinete jurídico de la Agencia anteriormente citado se indica que la incorporación de servicios de tercera parte con botones para compartir contenido en redes sociales, o analítica web que implique el uso de cookies persistentes de tercera parte implicaría la aplicación de la LSSI.
Resumen: si el sitio web incluye servicios web de terceros (cualquier cosa integrada que se ejecute mediante llamadas a otros dominios, como pueden ser todos los servicios citados de Google u otros proveedores) entonces sí que será prestador de servicios y, por tanto, dejaría de estar exento en sus obligaciones de consentimiento.
En nuestro caso nos parece especialmente interesante que se mencione la analítica web, algo bastante explícito, abandonando la ambigüedad por una vez. Entonces, ¿todas las Administraciones con Google Analytics están obligadas a incluir un aviso de cookies? Yo entiendo que sí.
Otro debate puede ser el uso del término tercera parte. He defendido muchas veces que la analítica (GA4 por ejemplo) usa cookies de primera parte (first-party). Porque entiendo que tiene que ver con dónde (en mi sitio web) se recogen los datos y no con quién (un servicio de Google) los recoge.
Ética y responsabilidad social pública
Independientemente del carácter de proveedor de servicio que queramos atribuir a un ente público, sus obligaciones para con la privacidad del ciudadano/usuario deben ser las mismas, si no superiores, a las exigibles a cualquier empresa de interés privado.
No resulta moralmente aceptable que desde las instituciones públicas se exija (con toda lógica) la adopción de una serie de medidas tecnológicas en aras del respeto a los derechos digitales del ciudadano y que dichas instituciones no prediquen con el ejemplo.
El término responsabilidad social siempre me ha fascinado, me parece interesante aunque a menudo se utilice para limpiar imagen y conciencias. Sin embargo, lo habitual es llevar dicha responsabilidad al ámbito empresarial, la famosa RSC o Responsabilidad Social Corporativa. ¿Y qué pasa con las Administraciones públicas?
El Portal de la Responsabilidad Social, dependiente del Gobierno estatal, recoge los diferentes enfoques de Responsabilidad Social de las Comunidades Autónomas, donde no se encuentran referencias al respeto de la privacidad del usuario o a la gestión del consentimiento a la hora de tratar sus datos. Esperable, supongo.
Sin embargo, el mismo Gobierno estatal, a través de su Estrategia Española de Responsabilidad Social de las Empresas, con un escenario ya superado (2014-2020), indica en el punto 3.3 lo siguiente:
Más allá del importante papel que las administraciones públicas pueden y deben jugar en la promoción, impulso, difusión y apoyo de la responsabilidad social en el ámbito de las empresas y del resto de organizaciones, se debe también prestar atención a su propio funcionamiento y modelo.
Estas organizaciones prestan servicios a los ciudadanos y, por tanto, deben ser cada vez más eficientes en su actividad puesto que interactúan en un entorno social y ambiental que deben respetar y mejorar, al tiempo que deben velar por el desarrollo profesional y el bienestar laboral de los empleados públicos.
Por todo ello, las Administraciones, en tanto que son organizaciones, deben aplicarse a sí mismas los mismos criterios que inspiran el concepto de responsabilidad social y hacerlo, además, con un carácter de ejemplaridad.
E incluso lo reafirma a través de la Memoria-Informe sobre prácticas socialmente responsables, de 2016, donde nuevamente se indica que:
[…] se debe también reflejar el propio funcionamiento de las AAPP como organizaciones que prestan servicios a los ciudadanos […]
Por todo ello, las Administraciones, en tanto que son organizaciones, deben aplicarse a sí mismas los mismos criterios que inspiran el concepto de responsabilidad social y hacerlo, además, con un carácter de ejemplaridad.
Es decir, las propias Administraciones públicas parece que deberían tener claro el factor de ejemplaridad en todas las acciones y medidas puestas en marcha con un objetivo social. ¿No lo es el derecho a la privacidad del individuo? Rotundamente, sí.
Conclusiones
Si existe el Día de la Privacidad de la Información e incluso el Presidente del Gobierno aprovecha la ocasión para dar su discurso, ¿no vamos a conseguir que los propios organismos públicos den ejemplo y, al menos, implementen las mismas medidas técnicas que se exige a la empresa privada?
De momento la cosa está complicada y existe disparidad de opiniones y de formas de actuar. Sirva como ejemplo el dominio del Gobierno estatal, “gob.es”, donde existen subdominios como el sitio web del Presidente y del Consejo de Ministros (aka Moncloa) con aviso de cookies, y otros como el portal de la Administración Pública (sí, tiene analítica web de Google) que no lo tienen.
En cualquier caso, ante la disyuntiva “no soy un proveedor de servicio digital” versus “sí tengo cookies de analítica y además debo dar ejemplo”, yo diría que la cosa está clara. Vale, de alguna forma soy parte implicada, pero aún así lo veo bastante claro.
Mi consejo para cualquier Administración u organismo público sería que implementen las tecnologías y herramientas que les permitan prestar el mejor servicio al ciudadano y que, en el más que probable caso de que esto pase por incluir cookies, olviden la letra pequeña e implementen también el sistema de gestión del consentimiento que mayor valor aporte al usuario.
La jurisprudencia parece jugar en contra, esperemos que se imponga el sentido común.
