‘La directiva ePrivacy post-cookie: la expansión desmedida del consentimiento’, por Paula Ortiz
El Comité Europeo de Protección de Datos, que reúne a las autoridades europeas de protección de datos, ha publicado una nueva interpretación del Artículo 5(3) de la Directiva ePrivacy (relativo a las cookies y otras tecnologías) que amenaza con complicar la operativa básica de internet. Las nuevas directrices, que van mucho más allá de las cookies, extienden la necesidad de consentimiento a prácticamente cualquier movimiento online: desde simples parámetros URL hasta el funcionamiento de bombillas inteligentes.
La evolución constante del panorama digital, marcada también por la (siempre presente) idea de la eliminación de cookies de terceros y las nuevas formas de seguimiento y personalización, ha llevado a este Comité a actualizar su interpretación del citado artículo. La nueva versión de las directrices, que sustituyen a las de 2014, pasó por un proceso de consulta pública. Lo sorprendente es que el texto final mantiene prácticamente intacta la propuesta inicial, desatendiendo incluso aportaciones significativas como las del regulador finlandés. Lo que podría parecer una actualización técnica se ha convertido en un giro que preocupa seriamente al sector.
Las autoridades de protección de datos se centran en tres cuestiones: qué se entiende por 'información', el concepto de 'equipo terminal del usuario' y hasta dónde llega 'acceder y almacenar información'. Y aquí es donde viene la cuestión: se ha dado una interpretación tan expansiva que ya no hablamos solo de cookies, sino que el ámbito de aplicación incluye prácticamente cualquier fragmento de información, desde el uso de parámetros en una URL, llamadas a APIs desde el navegador, IPs y píxeles de seguimiento, hasta elementos del Internet de las Cosas como las bombillas inteligentes.
En su respuesta a la consulta de enero de 2024, IAB Europe expresó sus preocupaciones, y con razón, sobre la propuesta: una interpretación excesivamente amplia de "acceso" y "almacenamiento" que prácticamente obligaría a solicitar consentimiento para cualquier interacción técnica, junto con unos costes de implementación que podrían generar barreras significativas en el mercado; además, alertaron sobre el riesgo de que cada país interprete la normativa de forma diferente, fragmentando el mercado europeo, y advirtieron del potencial deterioro de la experiencia del usuario y la falta de claridad en las excepciones, lo que podría crear un escenario regulatorio complejo y poco operativo.
Es quizás este último punto el aspecto más problemático. Por un lado, las directrices son súper estrictas con lo que consideran acceso o almacenamiento (es indiferente si guardas información por un microsegundo o si solo es una IP), pero luego no se aclaran las excepciones.
El impacto de las nuevas directrices es extraordinariamente amplio. Además, parece equiparar la información básica que necesitamos para que internet funcione con la que realmente requiere un consentimiento previo, lo que no solo contradice los principios técnicos del funcionamiento de Internet, sino que añade una capa de complejidad innecesaria a la navegación web más elemental.
La situación es compleja. Por mis años al frente del departamento legal de IAB Spain, sé de primera mano lo importante que es que reguladores e industria establezcan un diálogo. No se trata de “hacer lobby”, sino de explicar como expertos cómo funciona un determinado entorno a quienes tienen que escribir o interpretar las normas. La experiencia nos ha demostrado que cuando este diálogo se produce, los resultados son notablemente más equilibrados y aplicables. Un ejemplo lo encontramos con la AEPD y la Guía sobre el uso de las cookies en 2012: nos escuchó a IAB Spain, adigital y Aucontrol para entender cómo funcionaba realmente el sector Ad tech y esa Guía ha sido durante mucho tiempo una referencia para otros países europeos.
Sin embargo, observamos con preocupación cómo algunas autoridades de protección de datos, caracterizadas por posiciones particularmente estrictas o alejadas de las realidades del mercado, parecen marcar el rumbo. Su aproximación a la protección de datos como una materia aislada, desconectada del contexto empresarial y tecnológico, deriva en interpretaciones excesivamente rígidas que, paradójicamente, pueden resultar contraproducentes para los propios objetivos de protección que persiguen.
Las autoridades han puesto las cartas sobre la mesa, pero ahora viene lo complicado. Las empresas se enfrentan a un quebradero de cabeza triple: nadie tiene del todo claro cómo aplicar estas normas en el día a día, faltan alternativas realistas para el sector publicitario y, para rematar, puede haber divergencias interpretativas entre los diferentes Estados miembros.
Tenemos por delante un panorama que promete dar mucho que hablar en 2025.
Paula Ortiz, Co-CEO de TheLegal.School
