Galletas virtuales (cookies) y cláusulas abusivas: Reflexión sobre la aplicación de la Resolución SCI 994/2021. – Dr. Julián Luna Pastore

0
195

¿Alguna vez hablaron sobre algo y recibieron una publicidad relacionada en su celular? ¿Alguna vez intentaron comprar un producto digitalmente y después encontraron anuncios de ese tipo de producto en otras páginas?

El inciso “q” de la Resolución 994/2021 de la Secretaría de Comercio Interior (en adelante, SCI), establece lo siguiente: “Son consideradas abusivas las cláusulas que: (…) q) Permitan a los proveedores disponer de datos de las y los consumidores después de la terminación del contrato cuando el/la consumidor/a haya solicitado su eliminación.”

Naturalmente, como usuario de Internet y comprador de productos por medio de la web, me pareció interesante analizar cómo se extiende esta normativa a las relaciones de consumo virtuales.

Primeramente, para poder analizar la aplicación de la norma, es menester describir el supuesto de hecho al que estoy haciendo referencia. En concreto, es posible notar que hay un sistema de recolección de datos que se encuentra proliferado a lo largo y ancho de la web. Este sistema de recolección se basa en la introducción de pequeños archivos informáticos dentro de las páginas web, los cuales recopilan información de los usuarios que ingresan e interactúan dentro de cada página. Tales archivos se conocen como “cookies”.

Dichas cookies sientan las bases de la programación web actual y se encuentran en prácticamente todas las páginas a las que ingresamos.

Es normal, por lo mismo, al ingresar a una página, ser preguntados por nuestra aceptación para el uso de cookies. De esa manera, al no conocer con certeza cuáles son las cookies insertas en cada página, con solo ingresar a una página para leer un artículo jurídico o para averiguar una receta de cocina, probablemente múltiples cookies se encuentren registrando información acerca de nuestro comportamiento y nuestros intereses.

No todas las cookies accionan o recopilan datos de la misma manera (Maxim, 2016). Ciertas cookies sirven para permitir el desarrollo de funciones básicas de una página, como registrarnos con un usuario y una contraseña. Mientras que otras simplemente rastrean el comportamiento del usuario con fines publicitarios.

Ante este escenario de proliferación de cookies y posterior almacenamiento de datos personales, existen estudios que demuestran la existencia de un fenómeno llamado “fatiga de

las cookies”, de acuerdo con el cual, la mayor parte de los usuarios de Internet terminan aceptando el uso de cookies para ingresar a las páginas que desean (Wein, 2022). Aunque personalmente estén en contra de que se tomen sus datos (Wein, 2022). Sin ni siquiera averiguar o intentar indagar cuáles son las cookies que se encuentran operando en el sitio al que ingresan (Wein, 2022).

En tal contexto, dado el supuesto en el cual establecemos una relación de consumo virtualmente (al, por ejemplo, comprar un producto por una página web), el inciso q de la Res. SCI 994/2021 nos lleva a cuestionarnos: ¿podemos reclamar la eliminación de los datos personales que brindamos en el marco de una relación de consumo virtual?

En caso de que estemos dispuestos a reclamar tal eliminación, ¿a quién debemos reclamar?

Analizando legislación europea1, la doctrina del viejo continente efectuó una distinción respecto de los sujetos involucrados en la toma de datos por medio de cookies. Marioara Maxim (2016) distingue entre el usuario (data subject), el controlador (quien establece el propósito y los métodos para obtener y procesar los datos) y el procesador de datos (quien utiliza esos datos para una finalidad particular). En principio, el controlador de los datos es quien ostenta la posesión sobre estos y, por ende, a quien cabría reclamar su eliminación.

No obstante, las cookies pueden incluso dividirse entre cookies propias (First party cookies) o cookies de terceros (Third party cookies). Es decir, que algunas cookies (propias) pertenecen al sitio al que uno ingresa para establecer la relación de consumo y los datos son almacenados por esa misma página. Mientras que, en las cookies de terceros, son otras las páginas o personas que tienen propiedad sobre las cookies; implicando que, en dichos casos, los datos se encuentren en posesión de una persona distinta a la dueña de la página web. Que, por consecuencia, ese tercero, se vuelve el controlador y almacenador de los datos.

Por poner ejemplos concretos de esta distinción, un caso de cookies propias, o “First party cookies”, sería el caso en que un usuario2 ingrese a Mercado libre a comprar un producto y, a partir de su ingreso, cookies propias de Mercado libre almacenen información del usuario. Dentro de las bases de datos de Mercado libre.

En el caso de las cookies propias, la situación es relativamente sencilla: se podría solicitar a Mercado libre la eliminación de los datos personales almacenados3.

En el caso de las cookies de terceros, el fenómeno es inmensamente más complejo.

Por ejemplo, esta sería la situación en que una página web (por poner un caso ficticio, llamémosle: “cocinar111.com”) permita a los usuarios ingresar a su portal con una cuenta de Google o Facebook. La forma de Cocinar111.com para permitir ese ingreso, es por medio de la inclusión de cookies de Google y/o Facebook en su página web. Por medio de las cookies, Google y/o Facebook permiten al usuario registrarse. Pero también obtienen información acerca del comportamiento del usuario en aquella página. Ahora, considerando que cocinar111.com sea una página argentina y del interior del país, ¿qué posibilidad tiene cocinar111.com de exigir efectivamente la eliminación de los datos que multinacionales como Google o Facebook almacenen sobre uno de sus clientes?

Probablemente ninguna.

Por lo mismo, en este caso, la cuestión se complejiza, ya que, por más que reclamemos a la página web del proveedor, nuestros datos igualmente se encuentran en propiedad de terceros y a disposición de dicho proveedor (para, por ejemplo, realizar una publicidad). Adicionalmente, resulta imposible o muy difícil garantizar que nuestros datos personales sean eliminados de la totalidad de bases de datos almacenadas por terceros. Tendríamos que exigir la eliminación, individualmente, a cada controlador de datos. Supuesto ante el que, simplemente como dato anecdótico, antes de hacer este artículo controlé mi navegador y me di cuenta de que tengo más de 90 cookies activas, solamente de Google.

Considerando ahora lo dispuesto por el inciso q de la Res. SCI 994/2021, me pregunto, en pleno año 2023, ¿existirá alguna compra digital que no implique necesariamente la aceptación de una cláusula abusiva?

Bibliografía:

Maxim, M. (2016). Processing Personal Data by Cookies. Revista de stiinte politice, 66-76.

Meyers, W. (2019). C is for Cookie: Is the EU’s New “Cookie Law” Good Enough to Protect My Data? The International lawyer, 491-514.

Wein, T. (2022). Data Protection, Cookie Consent, and Prices. Economic Research. doi:https://doi.org/10.3390/economies10120307

Dr. Julián Luna Pastore

Octubre 2.023