Antes incluso de prestar atención al rol de las cookies en la analítica web es necesario destacar una cosa: Cualquier web que se precie de ofrecer un mínimo grado de interactividad debe desde hace años gran parte de sus funcionalidades a la existencia de cookies.

Aún así, su uso ha sido constantemente demonizado y la alarma social en torno a un eventual uso poco ético de las mismas llegó en su día a traducirse en una iniciativa legislativa de la mano del Parlamento Europeo para exigir el permiso previo del usuario antes de su utilización. Esta iniciativa se presentó en la forma de enmienda a la propuesta de Directiva sobre la privacidad y las comunicaciones electrónicas que en su día viera la luz como una modificación a la Ley General de Telecomunicaciones de 2003, en lo que al ordenamiento español respecta. Si bien dicha iniciativa no prosperó (al no superar el escrutinio del Consejo de Ministros en Bruselas), la psicosis originada entonces ha permanecido hasta nuestros días.

Paralelamente, como alternativa a similares iniciativas oficiales a escala nacional o regional, P3P (o Platform for Privacy Preferences) constituyó una bienvenida respuesta autoregulatoria del mercado y los usuarios al uso indiscriminado de Cookies de primera (servidas por el sitio visitado) y tercera (servidas por un sitio distinto del visitado) parte, persistentes (almacenadas localmente en el disco duro del usuario) o de sesión (almacenadas por la memoria temporal del navegador y eliminadas a su cierre o expiración). Sin embargo, a pesar de estar auspiciada por el World Wide Web Consortium (avalada como Recomendación de la propia W3C el 16 de abril de 2002) y contar con el respaldo de Microsoft desde su gestación (mediante su implantación en la versión 6 del navegador Internet Explorer), P3P no vió la luz con suficiente antelación como para adelantarse a iniciativas legislativas regionales (ej: Unión Europea) destinadas a definir el marco de protección del individuo frente al procesamiento de sus datos personales (caso de la Directiva de Protección de Datos, incorporada al sistema español como Ley Orgánica de Protección de Datos de 1999).

Como consecuencia, nos hemos encontrado con un doble nivel de escrutinio al uso de Cookies en la web: El jurídico, de orden nacional y comunitario y el autoregulatorio, de orden global.

A nivel jurídico nacional, en la medida en que pueden almacenar información referente a una determinada persona física (si bien la persona en cuestión no es normalmente identificable mediante su solo uso), las cookies deberán tenerse presentes en toda política de protección de datos o noticia al visitante de un sitio web. Resultaría de otro modo difícil satisfacer las obligaciones impuestas por la Directiva de Protección de Datos Personales (transpuesta en España a través de la la Ley Orgánica de Protección de Datos Personales ). Todos los archivos registrados y medidas de seguridad implantadas deberían tener en cuenta las posibilidades de almacenamiento de las cookies y advertir al usuario convenientemente. Por último, la Ley General de Telecomunicaciones de 2003 establece la obligación complementaria de anunciar al usuario, de forma prominente, cuales son los usos específicos que un sitio web determinado hará de las cookies utilizadas. El usuario deberá igualmente ser informado acerca de la posibilidad de no aceptar dichas cookies y las consecuencias de su no aceptación.

A nivel autoregulatorio, P3P ha obligado a los operadores en Internet a traducir sus medidas de protección de privacidad a la sintaxis P3P (en sí misma un “namespace” de XML), publicando posteriormente los archivos resultantes, así como un archivo de referencia de los mismos que indique las partes del sitio a las que se aplicarían dichas medidas.

Una vez dicho todo esto cabe preguntarse qué nuevos factores están presentes en aquellos casos en que el sitio web (haga o no uso de Cookies a efectos de funcionamiento) realiza actividades de Analítica Web. La respuesta está en la naturaleza de los datos analizados.

Un sitio web que utilice el “web mining” para sustraer información (ej.: mediante JavaScript, en un formulario de registro) que permita identificar individualmente a sus visitantes más allá del análisis estadístico anónimo (ej: un DNI), estará recabando y procesando datos personales, por lo que dichas actividades caerán bajo el ámbito de la LOPD. En consecuencia, y siempre que no se trate de datos especialmente sensibles, el tratamiento de dichos datos deberá satisfacer las condiciones impuestas por la propia ley. Además, el aviso legal de la web deberá indicar con claridad qué información se recoge y para qué fines.