Uno de los apartados que establece la conocida Ley de Cookies es la necesidad de obtener el consentimiento informado del cliente para instalar este tipo de archivos en el ordenador del usuario, los cuales permiten recabar información personal sobre gustos, búsquedas, consultas… del mismo. Con estos conocimientos, las empresas pueden ofrecer una experiencia más personal al usuario.
En este post vamos a analizar cómo debe recopilarse este consentimiento en un email comercial con el fin de instalar cookies que permitan a la empresa recabar datos con el fin de ofrecer al usuario una publicidad más a la carta, en función de sus gustos y necesidades, que quedan a la vista a través de su navegación.
La respuesta a cómo cumplir la Ley de Cookies en los emails comerciales la da la Agencia Española de Protección de Datos. Este organismo recibió una consulta en la que se preguntaba si era suficiente con obtener el permiso con un mecanismo opt out, o de exclusión, es decir informando al usuario, pero sin requerir ninguna acción por su parte, se entiende que si el usuario no expone su desistimiento se pueden instalar; o bien debía realizarse mediante un mecanismo opt it, una vez informado el usuario debe dar su consentimiento expreso de que acepta el uso de cookies.
Atendiendo a la Ley de Servicios de la Sociedad de la Información y de comercio electrónico (LSSI), su artículo 22.2, que hace referencia a la Ley de Cookies, establece que “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.
La Agencia en su Guía sobre el uso de las cookies remarca la necesidad de implantar un sistema en el que el usuario sea plenamente consciente de la instalación de aquellos dispositivos y el uso que se está haciendo de sus datos y las consecuencias que éste tiene para su privacidad.
En consecuencia, su gabinete jurídico establece la obligatoriedad de que este consentimiento se obtenga a través de una respuesta opt in, es decir que requiera de una acción del usuario. En su dictamen señala que un “formulario de aceptación expresa mediante un sistema de opt in, sí daría cumplimiento al requisito de obtención de un consentimiento que establece el artículo 22.2 de la LSSI”. Un ejemplo sería que el formulario cuente con una casilla que el usuario debe marcar poniendo de manifiesto, de este modo su consentimiento.
Podéis consultar en este enlace la respuesta del Gabinete Jurídico de la AEPD en el que se da respuesta a este tema.