Las Autoridades Europeas de Protección de Datos (Grupo de Trabajo del Artículo 29) han aprobado un dictamen en el que aclaran y especifican cómo deben aplicarse tanto la legislación europea de protección de datos y privacidad, como las nuevas normas comunitarias sobre privacidad en telecomunicaciones, en la publicidad on-line basada en el comportamiento -Behavioural advertising-.

La publicidad online basada en el comportamiento se basa en el seguimiento continuo de los individuos a través de su navegación en múltiples sitios web, por medio de cookies. Por lo general, las cookies de rastreo (tracking cookies) se utilizan para recopilar información sobre el comportamiento de navegación de los individuos y ofrecer a los usuarios anuncios dirigidos y personalizados.

El seguimiento de los individuos mientras navegan por Internet puede proporcionar una imagen muy detallada de la vida on line de una persona. En este sentido, el dictamen aprobado señala que, aunque la publicidad on-line basada comportamiento puede aportar ventajas al sector de Internet y a los propios los usuarios, su incidencia para la protección de datos personales y la privacidad es importante.

El dictamen, cuyo contenido íntegro es público, establece una diferenciación entre los diferentes roles y responsabilidades de los agentes implicados en el behavioural advertising. Asimismo, analiza la redacción de la nueva Directiva sobre privacidad en telecomunicaciones (136/2009/CE), que ha venido a reforzar las garantías para la privacidad de los usuarios de Internet.

El dictamen subraya que los proveedores de publicidad on-line basada en el comportamiento, cuando utilizan cookies, están sometidos a las nuevas normas europeas sobre la privacidad electrónica.

En concreto, se destaca que la nueva Directiva sobre privacidad en telecomunicaciones (136/2009/CE) aprobada en diciembre de 2009, y que modifica la Directiva 2002/58/CE (relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas), introduce la obligación de obtener el consentimiento informado de los usuarios antes de instalar dispositivos como cookies en los ordenadores de los usuarios.

Hasta la aprobación de dicha directiva, las normas europeas anteriores establecían únicamente la necesidad de aportar información clara y completa al usuario (sistema opt -out). En opinión de las Autoridades Europeas de Protección de Datos, este sistema no es suficiente, ya que no garantiza que el usuario pueda otorgar, mediante una acción afirmativa, su consentimiento.

En el dictamen aprobado, las Autoridades Europeas de Protección de Datos instan a crear mecanismos sencillos y eficaces para que los usuarios otorguen su consentimiento para este tipo de publicidad. Igualmente, instan a que se establezcan mecanismos para que los usuarios puedan retirar su consentimiento.

Actualmente, la configuración por defecto de tres de los cuatro navegadores más utilizados está predeterminada para aceptar todas las cookies. Para el grupo de autoridades europeas de protección de datos, no cambiar la configuración que viene por defecto no puede ser considerado, en la mayoría de los casos, como consentimiento válido del usuario. Además, las redes de publicidad (ad networks) -entidades que realizan segmentación de audiencia mediante los perfiles de navegación de los usuarios para ofrecerles publicidad personalizada- y los editores (publishers) de páginas web que ofrezcan este tipo de publicidad deben proporcionar información sobre la finalidad del seguimiento de manera clara y comprensible, para que los usuarios puedan tomar decisiones informadas sobre si quieren que su comportamiento de navegación sea monitorizado.

Asimismo, en el dictamen se establece que, dada la mayor vulnerabilidad de los menores, los proveedores de este tipo de publicidad no deberían dirigirse a los mismos.

El Grupo de Trabajo del Artículo 29 -cuyo vicepresidente en la actualidad el director de la AEPD, Artemi Rallo- es el grupo consultivo compuesto por representantes de las autoridades nacionales de protección de datos de los Estados miembros de la UE, el Supervisor Europeo de Protección y la Comisión Europea, que emite Dictámenes y Opiniones sobre distintos asuntos que se someten a su consideración, y que necesariamente debe pronunciarse sobre todas las propuestas normativas europeas que afecten al derecho a la protección de datos personales. Sus funciones se describen en el artículo 30 de la Directiva 95/46/CE y el artículo 15 de la Directiva 2002/58/CE.