Saltar al contenido

¿Qué es una política de Cookies y cuando debe adoptarse

OCH Blog politica de cookies

Este contenido es producido por OCH Group, Independent Member de GGI en Colombia.

El uso e implementación de Cookies en sitios web y softwares de distribución como servicio (S.a.a.S.) pueden conllevar actividades de tratamiento de datos personales a la luz del Régimen General de Protección de Datos Personales. De recopilarse datos personales que permitan identificar a un usuario, el administrador del sitio deberá incorporar una sección relativa a Cookies en su política de tratamiento de datos.

Autor: Andrés Choachí-Jaramillo – Abogado Junior – [email protected]

Antes de abordar lo relacionado a la política de recopilación y uso de datos de navegación, conviene revisar brevemente el concepto técnico de Cookie y los diferentes criterios que permiten su clasificación.

 

  • Las Cookies y su clasificación

Los datos de navegación del usuario, comúnmente designados con el anglicanismo «cookies» son un fichero – o archivo de datos enviado – por un sitio web y que se almacena en el navegador del usuario, de forma tal que el sitio web puede consultar la actividad previa de navegación del usuario, concediendo a los administradores del sitio y compañías propietarias un amplio abanico de posibilidades que abarca desde la optimización del portal hasta el perfeccionamiento de estrategias de publicidad y mercadeo.

Según el portal de tecnología Xataka, «Las cookies suelen utilizarse principalmente para dos finalidades principales: recordar accesos y conocer hábitos de navegación» pues permiten al sistema informático recordar información relacionada a la sesión de usuarios autenticados o conservar preferencias de navegación del visitante; comodidades informáticas que dependen en buena parte de la capacidad del sitio web de efectuar un seguimiento a los actos de uso de los usuarios que se efectúan desde una terminal en específico.

Este tipo de ficheros pueden clasificarse desde tres puntos de vista, igualmente relevantes de cara a la privacidad del usuario. Según su duración, se clasifican en Cookies Temporales, eliminándose del navegador al usuario abandonar el sitio web: y en Cookies Persistentes, las cuales permanecen en el navegador para posteriores visitas del usuario al sitio web. También pueden clasificarse según el Agente Responsable en Cookies Propias, como aquellas que son diseñadas y operadas por el mismo administrador del sitio; y en Cookies de Terceros, cuando éstas son diseñadas y/o operadas por un tercero distinto a quien detenta la administración y responsabilidad directa sobre el sitio web. Así mismo, según su finalidad, pueden clasificarse entre cookies técnicas o necesarias, de preferencias o de personalización; de rendimiento y análisis; y publicitarias o de marketing.

 

  • Antecedentes normativos

Dado que uso de Cookies implica la recopilación de información sobre el comportamiento de los usuarios durante la navegación de un sitio web en particular, pronto se advirtieron riesgos de vulneración a la privacidad de los usuarios.

El primer ejercicio de regulación pública de las actividades de recopilación y uso de datos de navegación a través de Cookies se ubica en la Directiva de Privacidad y Comunicaciones Electrónicas emitida por la Comunidad Europea en 2002, norma la cual es a su vez el antecedente del Reglamento General de Protección de Datos vigente en la Unión Europea desde el 2008 y el cual ha permitido al Tribunal de Justicia de la Unión Europea producir jurisprudencia relevante en cuanto a la privacidad de usuarios, el comercio electrónico y la necesidad de consentimiento activo de los usuarios respecto a las actividades de tratamiento de datos personales de los usuarios.

En lo que a Colombia respecta, la República no cuenta con una norma jurídica que expresamente ataña a los datos de navegación de usuarios y/o al uso de Cookies. Ello no debe interpretarse como ausencia de regulación, puesto que la interpretación integral del Régimen General de Protección de Datos Personales adoptado por el país con la expedición de la Ley 1581 – y de forma sectorial la el Régimen de Protección de Datos Personales del Sector Financiero y Crediticio de la Ley 1266 – han servido como base a la Superintendencia de Industria y Comercio para concebir el uso e implementación de Cookies como una actividad sujeta a las garantías estatutarias de la Ley 1581 y por ende, bajo el marco de las competencias de Inspección actuando como autoridad nacional de datos.

 

  • Política de Cookies y la normatividad colombiana

Entendiendo las cookies como «archivos que recogen información a través de una página web sobre los hábitos de navegación de un usuario o de su equipo», debe entonces entenderse por Política de Cookies como el conjunto de lineamientos de naturaleza técnica, administrativa, comercial y/o operativa adoptados por la persona natural o jurídica responsable del tratamiento de datos personales recopilados a través de sitios web que hagan uso de Cookies.

Sobre el asunto, debe recordarse que, de conformidad al régimen general de protección de datos Personales, toda persona que ejecute actividades de tratamiento de datos personales en calidad de responsable está en la obligación reglamentaria de adoptar y comunicar su Política de Tratamiento de Datos Personales y/o de informar por medio de un aviso de privacidad al titular del dato sobre las políticas por él adoptadas respecto a las actividades de tratamiento.

De allí que, haciendo uso de una interpretación conciliada entre el concepto de cookies y la normatividad patria, pueda concluirse que las empresas responsables de sitios web que implementes Cookies, las cuales recaben datos susceptibles de ser tomados por personales bajo el tenor de la Ley 1581, deberán señalar dentro de sus Políticas de Tratamiento de Datos Personales comunicadas al público lineamientos específicos respecto la operación y uso de los datos de navegación del usuario.

Es en este punto en donde adquiere relevancia la clasificación final de las Cookies.

Por regla general las Cookies Técnicas o Necesarias no comportan actividades de tratamiento de datos puesto que se limitan a soportar el correcto funcionamiento del sitio web, así igual las Cookies de Rendimiento y Análisis, puesto que tradicionalmente se dirigen a medir la eficiencia de carga de los sitios web. En oposición a ellas, suelen estar presentes actividades de tratamiento de datos personales en las Cookies de preferencias o de personalización; de rendimiento y análisis – cuando éstas analizan el comportamiento del usuario, tal como el seguimiento del proceso de compra en un Comercio Electrónico –; y con mayor fuerza en las clasificadas como Publicitarias o de Marketing

  • Pregunta clave: ¿La información de esta Cookie implica tratamiento de dato personal?

Para determinar la necesidad de adoptar políticas respecto la recopilación y uso de datos de navegación son dos los elementos que deben verificarse: (A) los datos individual o conjuntamente considerados sean susceptibles de ser considerados como información personal; y  (B) se pretenda una actividad de tratamiento de estos.

Respecto al primer ítem, resulta relevante el pronunciamiento de la Superintendencia de Industria y Comercio contenido en el Concepto de Radicado No. 16-172268 del 9 de agosto de 2016, en la cual se sintetizan las características de la información de naturaleza personal, y el cual se reproduce a continuación

 

«(…) eventualmente podrían conformar una base de datos de acuerdo a la definición legal de la Ley 1581 de 2012 al recolectar datos personales conforme a las siguientes características: (i) están referidos a aspectos exclusivos y propios de una persona natural, ii) permiten identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación; caso en el cual, el responsable deberá ceñirse por las normas sobre protección de datos vigentes en Colombia, en especial la aplicación de los principios rectores para la administración de datos de legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad consagrados en el artículo 4 de la Ley 1581 de 2012.»

Es de resaltar que la categoría ‘dato personal’ exige una identificación más no una individualización, es decir, para que la información se repute como personal no se requiere del conocimiento pleno de la identidad de la persona. Bastará con su perfilamiento.

 

  • Síntesis

Si a través de las Cookies de un determinado sitio o aplicación web se recaban datos susceptibles de ser considerados como personales en los términos de la Ley 1581, el administrador y directo responsable del sitio adquirirá la calidad de responsable de tratamiento, quedando en la obligación de diseñar, implementar y comunicar políticas específicas en materia de Cookies, ello a través de su política de Tratamiento de Datos Personales y/o Aviso de Privacidad, según corresponda. Igualmente podrá adoptarse como política en documento aparte.

 

Fuentes:

  1. Superintendencia de Industria y Comercio de Colombia. Concepto Radicado No. 16-172268 del 9 de agosto de 2016. https://www.sic.gov.co/recursos_user/boletin-juridico-sep2016/conceptos/datos_personales/16172268-proteccion-datos-9-ago-2016.pdf
  2. Superintendencia de Industria y Comercio de Colombia. Comunicado de Prensa: «Superindustria ordena a Google cumplir con el estándar nacional de protección de datos» https://www.sic.gov.co/slider/superindustria-ordena-google-cumplir-con-el-est%C3%A1ndar-nacional-de-protecci%C3%B3n-de-datos
  3. Superintendencia de Industria y Comercio de Colombia. Resolución 12192 del 1° de abril de 2020 dictada en el curso de Requerimiento Administrativo a Facebook Colombia S.A.S.

Contacta al Experto

Juan Camilo Franco

Juan Camilo Franco

Partner Legal Services - e-mail: [email protected] - Oficina: +57 6042666474 - Cel: +57 3007080666

¿Necesitas este servicio o nuestra asesoría?

Si este tema es de tu interés, requieres este servicio o nuestra asesoría, contacta al experto. Llámanos en Medellín al 6042666474 o vía Whatsapp al 3012085777.

Expertos asociados

Etiquetas

Compartir este Post en:

Si este tema es de tu interés, requieres este servicio o nuestra asesoría, contacta al experto. Llámanos en Medellín al 6042666474 o vía Whatsapp al 3012085777.

Publicaciones recientes

OCH-Mauricio-Ochoa

Mauricio Ochoa

Contador Público – Abogado – Partner

OCH-Camilo-Ochoa

Camilo Ochoa

Partner Assurance & Audit

OCH-Camilo-Franco

Juan Camilo Franco

Partner Legal Services

OCH-Daniel-Diosa

Daniel Diosa

Abogado Senior Legal & Tax

OCH-Elkin-Salazar

Elkin Salazar

Partner Finance & Transactions

OCH-Farley-Zuluaga

Farley Zuluaga

Partner Risk & Technology

OCH Foto Perfil Juan Pablo Calle

Juan Pablo Calle

Abogado Junior Legal Services