La Superintendencia de Industria y Comercio inicia investigación por la utilización de cookies

Cookies

Mediante Resolución 32129 del 26 de mayo de 2022 (la “Resolución”), la Superintendencia de Industria y Comercio (la “SIC”) inició investigación administrativa y formuló cargos contra la sociedad Plural Comunicaciones S.A.S. por presuntas violaciones al régimen general de protección de datos personales tras encontrar, principalmente:

  • Que las plataformas www.canal1.com.co y www.noticiasuno.com de propiedad de la investigada (las “Plataformas”), utilizaban múltiples “cookies[1] para la recolección de información de sus usuarios.
  • Que, previo a realizar el tratamiento de información mediante cookies, el investigado no advertía sobre la finalidad de recolección de la información, ni sobre los datos recolectados, ni sobre las cookies utilizadas. Lo anterior pese a informar en la página principal de las plataformas que “este sitio web usa cookies propias y de terceros para darle la mejor experiencia de navegación. Al navegar en este sitio estas aceptando su uso, si deseas saber más acerca de nuestra política, haz click aquí”.
  • Que, las Plataformas no contenían remisión expresa a ninguna política de tratamiento de información, avisos de privacidad o documentos en los que se hiciera referencia a la protección de datos personales

En opinión de la SIC, las actividades de la investigada pueden suponer una violación al régimen de protección de datos personales, pues las personas que visitan las Plataformas desconocen que el investigado, supuestamente: (i) a través de las cookies recoge información de tipo personal, y (ii) realiza diversos tratamientos respecto de dichos datos sin cumplir con la totalidad de los requisitos exigidos por la Ley 1581 de 2012 (como lo es contar con autorización previo al tratamiento del dato).

Para lo anterior, la entidad parte por definir las cookies como “(…) pequeños archivos que un sitio web instala en el dispositivo del usuario para obtener información personal, rastrear comportamientos, recordar hábitos de navegación y consumos, información que permite individualizar a una persona sin que esta sea consciente de tal situación”. Lo que conlleva asumir que las cookies tienen la capacidad de recolectar información que permite individualizar a una persona, conclusión que consideramos es al menos discutible según se expone a continuación.

Sea lo primero recordar que en el pasado la SIC había definido las cookies como “archivos que recogen información a través de una página web sobre hábitos de navegación de un usuario o de su equipo y que eventualmente podrían conformar una base de datos de acuerdo a la definición legal de la Ley 1581 de 2012” (Véase Concepto 16-172268 de la SIC), es decir, para la SIC la información recolectada a través de cookies podía llegar a ser personal, más no necesariamente lo era.

La primera definición utilizada por la SIC en el año 2016, en nuestra opinión, es más ajustada a la realidad de lo que son las cookies, pues si bien es un hecho que éstas pueden permitir identificar al usuario de la web (no a la persona detrás del usuario) y sus hábitos de consumo, en la práctica puede ser imposible para el propietario de las cookies conocer la identidad real de dicho usuario.

Individualizar a una persona utilizando únicamente las cookies que son recolectadas por los sitios web cuando no se requiere la creación de un perfil ni la entrega de datos que tradicionalmente han sido clasificados como personales (nombre, numero de documento, correo electrónico o dirección) sigue siendo un reto desde lo técnico que en la mayoría de las oportunidades resulta infranqueable, pues aunque se puedan llegar a conocer datos respecto del usuario como páginas más frecuentadas, artículos más buscados u horarios de visita a ciertos sitios web, lo cierto es que dichos datos por sí solos difícilmente permiten la identificación de la persona. Piénsese en que es posible con un identificador de llamadas conocer el número telefónico de una persona, así como es posible mediante mecanismos más sofisticados conocer su ubicación, pero no por tener la ubicación y el número de la persona resulta posible conocer su identidad. Mientras los datos, de manera individual o en conjunto, no permitan la individualización de la persona no debería ser posible clasificar los mismos como “personales”, razón por la cual resulta complejo calificar los datos obtenidos a través de cookies como personales.

Ahora bien, aunque exista debate frente a si las cookies recolectan datos personales o no, lo cierto es que existe una tendencia global hacía regular el uso de las cookies por considerarlas afrentas contra la privacidad, pues es un hecho que permiten realizar seguimiento online de un usuario, elaborar perfiles de éstos y ejecutar campañas de marketing dirigidas que para algunas personas pueden ser no deseadas.

Sin embargo, una cosa es que las cookies puedan ser herramientas que faciliten cometer afrentas contra la privacidad de las personas, y otra muy distinta es que las cookies y la información que de ellas se obtiene pueda clasificarse como personal (al menos bajo el ordenamiento Colombiano). Cabe resaltar, si bien el derecho a recibir una protección frente al tratamiento de datos personales es una manifestación del derecho a la privacidad, no toda vulneración a la privacidad supone una violación al régimen de protección de datos personales, de manera análoga, no todo dato confidencial o privado que sea recolectado por una cookie es un dato personal.

Consciente de las limitaciones inherentes a los regímenes de protección de datos personales pero demostrando un fuerte interés por la protección de la privacidad, la Unión Europea (adalid de la protección de la privacidad online y de la protección de los datos personales en el entorno virtual), ha presentado borradores de lo que será el nuevo “Reglamento e-Privacy” en donde reitera que los “datos de las comunicaciones electrónicas” recolectados a través de cookies (que no necesariamente son datos personales), no podrán ser comunicados manual ni automáticamente sin el consentimiento expreso libre, especifico, informado e inequívoco de su titular. Lo anterior, supone una limitación al uso de las cookies que persigue el fin legítimo de salvaguardar la privacidad sin desdibujar el objeto y alcance del régimen de protección de datos personales.

Pese a la evolución en la discusión que gira en torno a las cookies y la información que recolectan, con la Resolución la SIC parece utilizar la protección de los datos personales como una herramienta para la protección de la privacidad de una manera más general a la que naturalmente podría permitir la regulación colombiana vigente, acudiendo a interpretaciones que en nuestra opinión pueden resultar complejas o extensivas de las normas aplicables (y que por imponer cargas a los ciudadanos deberían interpretarse de manera restrictiva). Lo anterior, podría ocasionar la aplicación errática de normas que pretenden proteger el correcto tratamiento de datos personales a situaciones en donde sólo serían aplicables normas relacionadas con la confidencialidad de la información.

Ahora bien, más allá de lo expuesto hasta el momento lo cierto es que ahora la SIC considera que las cookies recolectan datos personales, y que por lo mismo su utilización y el tratamiento de los datos obtenidos a través de las mismas deberá ceñirse a lo previsto en el régimen general de protección de datos personales. Lo que implicará para toda persona que recolecte datos utilizando cookies hacer que toda la información recolectada cumpla con lo previsto en la regulación de protección de datos personales en los términos de la SIC, no siendo suficiente con simplemente advertir que se recolectan cookies.


[1]           Pequeños fragmentos de texto contenidos en los sitios web que permiten recordar información sobre la visita realizada al mismo y los hábitos de navegación del usuario