Hoy hemos comenzado el año como siempre: trabajando. Haciendo algunas gestiones habituales, como la preparación del envío de algunos documentos importantes, nos hemos percatado que la página de CORREOS tiene un sistema de gestión de la política de cookies que no ha llamado poderosamente la atención.
Cuanto uno entra en la página de CORREOS, salta el pop-up cada vez más habitual que, siguiendo las numerosas indicaciones y recomendaciones de la Agencia Española de Protección de Datos («AEPD»), que ofrece dos opciones: (1) aceptarlas todas o (2) configurarlas. Hemos optado por configurarlas y para nuestra sorpresa, las cookies que denominan «Técnicas y de Personalización» están marcadas por defecto sin posibilidad de modificación.
Siendo cookies técnicas, no conlleva mayor problema, ya que, de conformidad con la Directiva 2002/58/CE (Directiva ePrivacy), en concreto su artículo 5.3. párrafo final, permite el «almacenamiento o acceso de índole técnica al solo fin de efectuar o facilitar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de proporcionar a una empresa de información un servicio expresamente solicitado por el usuario o el abonado». Esto es, permite las cookies técnicas, lo cual implica que no se necesita cumplir con una de las bases de licito del art. 6 RGPD para utilizarlas.
Ahora bien, en la capa de CORREOS no sólo estaban marcadas las «técnicas» si no también las «de personalización», pues van juntas; y sin posibilidad de gestionar este aspecto (hemos tratado de desmarcar la casilla sin éxito). Este término, a priori, genera dudas porque todo lo que sea personalización, segmentación, ofrecer productos personalizados implica que las normas del art. 6 RGPD deben ser cumplidas.
Ante las dudas, hemos entrado en el detalle de las cookies recogido en su política de cookies. Las «técnicas y de personalización» se indica que son las siguientes:
En principio todo parecería normal, pero una cuestión llama poderosamente la atención: la cookie «ASPSESSIONIDQCTCAAAQ» (Generada para el calculador de tarifas por cacheo de COM+, para cargar combo inicial con productos). ¿Está cookie personaliza los productos y tarifas por usuario y sesión? ¿Por alguna razón más? ¿Es, en cambio, eminentemente técnica, y realmente no personaliza tarifas y productos por usuario y sesión? Si es así, ¿por qué nos hablan de «cookie de pesonalización»? En su política de cookies se definen como:
- Cookies técnicas: aquellas cookies necesarias para el uso del sitio web y para la prestación de servicios.
- Cookies de personalización: aquéllas que permiten al usuario acceder al servicio con unas algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario (idioma, tipo de navegador…).
En nuestra opinión, y sin haber realizado más pruebas, la cookie destacada podría, en función de cómo opere (si ofrece precios y packs diferenciados en función del usuario y sesión), considerarse de personalización real y por tanto debería cumplir con las normas del art. 6 RGPD (consentimiento, interés legítimo, etc.) lo que conlleva que estas cookies no pueden estar premarcadas de antemano. De no ser así, quizá lo más sencillo es cambiar el título que recoge las cookies técnicas eliminando al frase «de personalización» pues da lugar a dudas, máxime cuando nos encontramos con casillas premarcadas. Creemos que esta última opción es la realidad de la situación, por lo que recomendamos que se sea muy detallista y cuidadoso con cómo se ofrecen este tipo de capas en las políticas de configuración de cookies.