1 de julio de 2000

Derecho a la privacidad y cookies

Este artículo aparece publicado en el número 24 de la Revista Electrónica de Derecho e Informática. También aparece en el libro "Derecho informático y comercio electrónico. Doctrina y legislación." Publicado por la Facultad de Derecho y Ciencias Políticas de la Universidad Inca Garcilaso de la Vega, Lima, Perú, 2002.

Resumen: Aun cuando en torno a las llamadas cookies existe un importante grado de incomprensión y desconocimiento, lo cierto es que -bajo determinadas circunstancias- pueden ser usadas de un modo lesivo del derecho a la intimidad de los navegantes de la red Internet. En este artículo intentamos brindar una perspectiva técnica y jurídica sobre qué son y cuáles son las implicaciones concretas que de ellas derivan para la disciplina del derecho informático.

Introducción

A pesar de ser una de las herramientas informáticas más usadas actualmente en la Internet, lo cierto es que las cookies [1] son también de las más incomprendidas, convirtiéndolas frecuentemente en objeto de mitos y medias verdades. Este desconocimiento no sólo afecta al público en general sino -de manera más preocupante aún- a los juristas, legisladores y muchas otras personas con poder de decisión en lo que se refiere al enunciado de políticas de telecomunicaciones y tecnología de la información.

Desde el punto de vista estrictamente técnico, el potencial benéfico de las cookies es muy grande. Ofrecen la posibilidad de brindar a los usuarios de la red una serie de servicios y ventajas que de otro modo no tendrían. Desde la óptica jurídica, sin embargo, pesa sobre ellas la sombra de servir como un instrumento maligno para invadir la intimidad de las personas; característica que, como veremos, es sólo parcialmente cierta. Es por ello que, para los estudiosos del derecho informático, una adecuada comprensión de lo que las cookies son (e, igualmente importante, de lo que no son), nos parece fundamental para dar al tema del derecho a la intimidad en la red -uno de los más candentes y apremiantes de hoy- el tratamiento que corresponde y merece.

En este trabajo, comenzaremos por examinar brevemente en qué consiste esta herramienta y para qué se usa, desde el punto de vista informático. Luego repasaremos las críticas que le han sido dirigidas desde la perspectiva de la temática de la intimidad, intentando establecer cuáles son ciertas y cuáles meramente fruto de la ficción o de la candidez. Finalmente analizaremos algunas de las soluciones propuestas para los problemas reales que derivan del empleo de las cookies, en el plano tanto técnico como jurídico.

¿Qué es una cookie?

La "World-Wide Web" (WWW), el componente multimedial de la Internet, fue diseñada, construida y funciona hoy bajo un modelo llamado de cliente-servidor. En él, las computadoras de los usuarios son los "clientes", que mediante un programa visualizador o navegador [2], envían peticiones a otras computadoras (los "servidores"), para que éstas les envíen de regreso los documentos y demás componentes que conjuntamente conforman una "página web".

Estas interacciones entre clientes y servidores se conocen técnicamente como conexiones sin estado. A diferencia de lo que ocurre, por ejemplo, durante una conversación telefónica (en la que el vínculo entre el aparato telefónico de la persona que llama y el de la persona llamada se mantiene de modo continuo durante el transcurso de la conversación), las conexiones en la WWW tienen un carácter más bien intermitente: una vez que el servidor termina de enviar al cliente la información solicitada, el enlace entre ambos se quiebra. Si se quiere, podríamos decir que, a partir de ese momento, el servidor "olvida" al cliente. Si éste formula un nuevo requerimiento (de otra o incluso de la misma página web enviada anteriormente), ambas máquinas deben establecer una nueva conexión, identificándose una a otra de nuevo, como si nunca se hubiesen comunicado antes.

Esta arquitectura nos puede parecer curiosa, pero no obstante es la responsable de la gran versatilidad de la WWW. Sin ella, los servidores web no podrían atender a la gran cantidad de usuarios de Internet que ingresan simultáneamente a los sitios más populares. En efecto, si las conexiones fuesen permanentes, ocurriría de algún modo lo mismo que pasa cuando intentamos llamar por teléfono a una persona, cuando ésta se encuentra conversando en el mismo momento con otra: no recibiríamos la información deseada y tendríamos que esperar a que el servidor se libere.

Pero esa misma característica de las conexiones sin estado, tan eficiente desde el punto de vista telemático, comporta un serio inconveniente desde la perspectiva humana. La intermitencia de las conexiones, a medida que el visitante navega de una página a otra dentro de un mismo sitio web o cuando regresa a él después de un tiempo, se convierte en un obstáculo a la sensación de continuidad que se podría querer ofrecer al usuario.

Las personas por lo general no nos avenimos bien a la fría eficiencia de las máquinas. Por ello, a medida que la WWW ha avanzado y madurado, las empresas y organizaciones han percibido la importancia de tratar de implementar mecanismos que contribuyan a crear la sensación de un trato más "personalizado" para sus visitantes. Esto es particularmente cierto tratándose de los sitios de comercio electrónico, que -como cualquier otra empresa- dependen en gran medida de atraer y retener la lealtad de sus clientes mediante la excelencia de su servicio. Por ejemplo, dichos sitios querrían aprovechar algunos datos personales sobre sus clientes, así como tomar nota de sus particulares preferencias, con el fin de brindarles una más enriquecedora experiencia durante sus sucesivas visitas. Se querría también simular lo más estrechamente posible la visita a un comercio del "mundo real", en el que los consumidores pueden recorrer las estanterías, examinar los diversos productos e ir colocando sus selecciones en un "carrito" de compras antes de dirigirse a la caja para pagar. Justamente para llenar esta necesidad es que se ha dado paso a la creación y empleo de las cookies.

La función básica de una cookie es simple: permitirle a un servidor almacenar y más adelante recuperar una pequeña cantidad de información en la máquina cliente. Esos datos siempre están asociados a un sitio web y a un programa navegador en particular, lo cual implica que una cookie creada por un servidor en un momento dado sólo le será accesible en el futuro si el visitante regresa al sitio web usando la misma computadora y el mismo navegador. La información es guardada en un archivo de texto, y puede contener sólo aquellos datos que la aplicación servidora expresamente determine. Eso, desde luego, podría incluir alguna información personal, así como códigos de usuario y contraseñas. [3] También es frecuente almacenar la fecha de la última visita, o bien algunos datos que permitan "recordar" lo que el usuario hizo o adquirió en esa oportunidad. En el momento en que la persona regresa al sitio en cuestión, su programa navegador envía el contenido de la cookie al servidor, que puede entonces interpretarlo y usarlo de un modo preestablecido, como, por ejemplo, mostrando un saludo personalizado al visitante.

Expuesto así someramente lo que una cookie es, analicemos ahora lo que no es, en procura de desterrar algunos de los mitos que las rodean. En primer término, es importante subrayar que no pueden capturar información personal de un usuario que no esté dispuesto a cederla voluntariamente. Además, no pueden transmitir un virus informático, porque no contienen más que texto estático. No sólo por sus características intrínsecas sino además por su muy reducido tamaño, estas estructuras no tienen la posibilidad de almacenar código ejecutable que pueda actuar como un virus. Finalmente, un servidor no tiene acceso más que a los datos contenidos en la cookie creada por él. En especial, no pueden hurgar por el disco fijo, extrayendo documentos u otros archivos sensibles de la computadora del usuario. De hecho, algunas cookies ni siquiera son almacenadas en disco; existen solamente en la memoria de la computadora y por el término de la actual sesión del programa navegador, desapareciendo tan pronto éste se descarga. [4]

Para concluir este aparte, se debe recalcar que la mayoría (si no todas) las aplicaciones recientes de navegación en la web, permiten que el usuario elija una opción que impedirá el almacenamiento de cookies en su computadora, o que por lo menos lo alerte cuando esté por ocurrir. Esto se puede activar o desactivar fácilmente como parte de sus preferencias de uso de la respectiva aplicación.

Afectaciones al derecho a la privacidad por el uso de cookies

A muchas personas molesta el mero hecho de que un servidor web tenga la capacidad de almacenar información, por poca que sea, en su computadora. Lo consideran una especie de invasión de su propiedad y de su espacio personal. Sin embargo, como se dirá, la verdadera amenaza a la intimidad que puede derivar del uso (más bien, del abuso) de la tecnología de cookies es mucho mayor de lo que esas personas posiblemente siquiera imaginen.

Como ha quedado claro de la sección precedente, el empleo de cookies es de evidente provecho para la empresa u organización que opera un sitio web, no sólo en cuanto permite ofrecer el grado de personalización del que hablábamos arriba, sino también -y quizás de mayor importancia- porque le permite realizar ciertos análisis de mercadotecnia y así conocer más acerca del perfil y los hábitos de consumo de sus clientes. Dependiendo del punto de vista de cada quien, esto podría parecer bueno o malo. Por ejemplo, la información contenida en una cookie puede ser empleada para la aplicación de publicidad dirigida: si se sabe que el visitante de un sitio web ha adquirido, digamos, libros sobre el cuidado de bebés, esto podría dar lugar a que en la misma o futuras visitas le sean presentados una serie de mensajes publicitarios sobre bienes o servicios asociados a ese mismo tema, con la esperanza de despertar su interés e intención de compra. Y, desde luego, el conocimiento así adquirido del consumidor también puede ser vendido o cedido a terceros. A través de técnicas de esta índole, es claro que eventualmente podríamos encontrarnos en presencia de la problemática que se examina a propósito de los grandes temas del derecho a la autodeterminación informativa y su instrumento aparejado, el recurso de hábeas data.

Si bien, como se explicó antes, se tiene siempre a mano la posibilidad de desactivar la creación de cookies en nuestra computadora, lo cierto es que esto no siempre es deseable y, de hecho, podría resultar perjudicial. En efecto, al hacerlo, se bloquearía tanto su empleo pernicioso como el benéfico. [5] Para entender mejor la cuestión, es importante establecer una distinción entre lo que podríamos denominar cookies locales y remotas.

  • Una cookie local es aquella clase que hemos venido analizando hasta ahora: la que crea en nuestra computadora el servidor del sitio web que estamos visitando, con cualquiera de los fines ya señalados. Algunos sitios dependen de ellas al punto de que no trabajar correctamente si se deniega su creación. [6]
  • También es posible la creación y recuperación remota de cookies. Cuando el sitio web que visitamos despliega publicidad de terceros, vía los llamados "banners" o "applets" Java, esos mensajes comerciales también poseen la capacidad de ejecutar código que puede grabar una cookie en nuestra computadora, y recuperarla posteriormente.

Desde la óptica del tema de la privacidad, interesa destacar que es justamente a través del uso de cookies remotas que se posibilita el funcionamiento de las llamadas "redes de seguimiento". [7] Estas funcionan cuando una empresa de mercadeo coloca mensajes publicitarios suyos en múltiples sitios populares de Internet con el fin de crear y luego recuperar cookies en las computadoras de los visitantes. Analizando estos datos, les es posible "seguir" a un usuario a medida que navega por esos sitios, vigilando sus acciones, acumulando información personal, controlando cuales bienes o servicios adquiere, etc. Es obvio que la posibilidad de crear perfiles sobre hábitos de consumo y recolectar datos personales crece así exponencialmente. Con solo navegar algunos minutos por estos lugares, ignorando por completo lo que sucede, la persona va dejando un clarísimo rastro electrónico, a la vez que cede -valga reiterar que involuntariamente- un tesoro de información a las empresas comercializadoras.

Las implicaciones jurídicas para el derecho de autodeterminación informativa y la privacidad en general son más que obvias.

¿Cómo enfrentar el problema?

Soluciones tecnológicas

La tecnología frecuentemente tiene la capacidad de contrarrestar los problemas que ella misma crea. La primera solución, ya mencionada, fue la posibilidad que se ofreció a los usuarios de desactivar selectiva o totalmente el almacenamiento de cookies. Sin embargo, tal como se explicó también, esta vía es bastante radical y a la postre más bien puede coartar las posibilidades del consumidor de recibir las ventajas y beneficios del uso correcto y ético de las cookies.

Por esta razón, otras posibilidades han ido apareciendo paulatinamente. Por ejemplo, ya hay aplicaciones capaces de distinguir entre el acto de creación de una cookie local y una remota. Se puede elegir así, a discreción del usuario, si bloquear la segunda, ambas o ninguna. [8] También se ha propuesto un estándar denominado P3P ("Platform for Privacy Preferences"). Esta iniciativa sería incorporada dentro de los principales programas navegadores, con el propósito de permitir a los usuarios decidir cuánta información personal desean entregar a un sitio web. A través de P3P, el consumidor puede aprobar o improbar la transferencia de información personal, de acuerdo con preferencias fijadas de antemano. Por ejemplo, se podría establecer que no se transmitan datos de esta naturaleza a sitios que los venden a terceros. [9]

Está claro que el empleo de soluciones técnicas de este tipo, aparejado al incentivo de las alternativas de autorregulación que mucha de la industria informática responsable viene propugnando, ofrece una vía idónea para al menos minimizar el problema. Sin embargo, es igualmente indudable que no todas las empresas y organizaciones poseen esta buena disposición. En esa medida, un conjunto claro y completo de regulaciones normativas debe entrar a llenar los espacios restantes.

Soluciones jurídicas

Desde la perspectiva de la mayoría de los ordenamientos jurídicos, nada de lo que se haga con las cookies, bueno o malo, posee mayor regulación legal. Sin embargo, diversas personas y entidades de tutela de los derechos civiles en países como los Estados Unidos ya han comenzado a preocuparse por el problema y a requerir la intervención de las autoridades para poner alguna clase de freno al "cosechado" de datos personales por medio de cookies.

En la medida en que, como se sabe, el ciberespacio no conoce fronteras políticas ni barreras geográficas, es evidente que el ideal sería que este tema forme parte de las diversas iniciativas para la creación de regulaciones de ámbito internacional en materia de comercio electrónico. Después de todo, la intimidad es un derecho fundamental, reconocido y tutelado internacionalmente en los diversos instrumentos sobre derechos humanos. La autodeterminación informativa, como corolario suyo que es, está siendo incorporada también cada vez más en los diversos textos normativos. Por ende, no se ve por qué no pueda y deba existir también un enfoque global del tema del abuso en el empleo de las cookies, en procura de soluciones integrales.

Notas

  1. La palabra cookie significa, literalmente, "galleta". Se trata de típica jerga informática angloparlante. Sin embargo, preferimos no traducirla aquí al castellano por la misma razón por la que no se suele hacerlo tampoco con otras expresiones como "hardware" o "CD-ROM", cuya usanza literal se ha difundido ampliamente a nuestro vocabulario informático.
  2. Tales como el Netscape Navigator, Microsoft Internet Explorer, Opera, Lynx, Mosaic, etc.
  3. Esto es lo que ocurre cuando se automatiza el ingreso a un sitio web protegido por medio de una clave. El servidor grabará el dato en la computadora cliente, de manera que en las visitas futuras se recuperará automáticamente la clave, ahorrando al visitante la molestia de tener que reescribirla cada vez que regresa a ese sitio web. A pesar de la evidente comodidad de este mecanismo, no es menos obvio que no debe ser empleado en computadoras accesibles a más de una persona (muy especialmente las de las populares cabinas públicas de acceso a la Internet o cibercafés), ya que en tal caso todos los usuarios podrían acceder al servicio en cuestión como si fueran el legítimo titular.
  4. Así es como suelen funcionar los llamados "carritos de compras".
  5. Y la opción de aceptar selectivamente las cookies tampoco resuelve el problema, no sólo por lo tedioso que resulta sino porque, de todos modos, los usuarios no sofisticados carecen de criterio para determinar cuáles autorizar y cuáles no.
  6. Por ejemplo, los diversos sitios que ofrecen correo electrónico gratuito vía una interface web, como los populares Yahoo, Hotmail, etc.
  7. "Tracking network".
  8. Nos referimos en particular al "Privacy Companion", que la empresa IDcide ha puesto gratuitamente a disposición del público. Nótese, sin embargo, que al momento de escribir estas líneas, se encuentra disponible solamente para el Internet Explorer de Microsoft. Es probable que más adelante sea ofrecido para otras aplicaciones.
  9. Puede verse un análisis de P3P desde el punto de vista jurídico, elaborado por el World Wide Web Consortium (W3C).