Cookies sin Consentimiento: El Riesgo Legal que Ignorás en Argentina

La implementación de cookies sin consentimiento informado constituye una infracción directa a la Ley de Protección de Datos Personales 25.326 en Argentina.
Un ladrón con una bolsa de galletas a escondidas, metiendo galletas en las bolsas de la compra de la gente sin que se den cuenta. Representa: Implementación de cookies sin consentimiento informado

Revelación N°1: Las Cookies Son Datos Personales (Qué Sorpresa)

En el gran teatro de la tecnología, hay un acto que se repite con una frecuencia admirable: la sorpresa fingida. Empresas, desarrolladores y especialistas en marketing levantan las cejas al enterarse de que esas pequeñas herramientas digitales llamadas ‘cookies’ pueden, de hecho, implicar el tratamiento de datos personales. Vayamos por partes, como si estuviéramos explicando el funcionamiento de un picaporte a un ingeniero aeroespacial.

Una cookie es un archivo de texto minúsculo que un sitio web le pide a tu navegador que guarde en tu dispositivo. Piénsenlo como un post-it digital. Algunos son inofensivos, casi necesarios: recuerdan que iniciaste sesión o qué productos agregaste al carrito de compras. Son las llamadas cookies técnicas o funcionales. Nadie pierde el sueño por ellas. El problema, el verdadero núcleo del asunto, son las otras: las de seguimiento, las de perfilado, las de análisis, las publicitarias. Esas que actúan como un detective privado un poco obsesivo, tomando nota de cada página que visitás, cada producto que mirás, cada segundo que pasás dudando antes de hacer clic.

Ahora, conectemos esto con nuestra querida Ley de Protección de Datos Personales 25.326. Su artículo 2 define ‘datos personales’ como ‘información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables’. La palabra clave aquí es ‘determinables’. No se necesita tu nombre, apellido y número de CUIT en un mismo archivo para que el dato sea personal. Basta con que la información, sola o cruzada con otra, pueda llevar a identificarte. Y, oh, casualidad, un identificador único de usuario almacenado en una cookie, sumado a una dirección IP, a los datos de tu navegador y a tu historial de navegación, te hace tan determinable como un auto con la patente a la vista. Es información que permite singularizarte dentro de la multitud digital para mostrarte anuncios de zapatillas que buscaste una vez a las 3 de la mañana. Esto no es una interpretación rebuscada; es la aplicación directa de la ley, reafirmada por la Agencia de Acceso a la Información Pública (AAIP) en sus dictámenes y guías.

La persistente creencia de que ‘anonimizar’ una dirección IP cortándole el último octeto es suficiente para eludir la ley es, siendo generosos, una fantasía. La capacidad de crear un perfil detallado sobre los intereses, hábitos y posibles vulnerabilidades de un individuo es, por definición, tratamiento de datos personales. Ignorarlo no es una defensa; es una confesión de negligencia.

Consejos para el Acusado: Crónica de una Infracción Anunciada

Si recibiste una notificación de la AAIP o una carta documento por el uso de cookies en tu sitio, mi primer consejo es que respires hondo y abandones la negación. Frases como ‘pero si todos los sitios lo hacen’, ‘yo no sabía qué instalaba el script de terceros’ o ‘es que el marketing me lo pidió’ tienen la misma validez legal que un billete de Monopoly en un supermercado. La responsabilidad por el tratamiento de datos en tu dominio es tuya. Punto.

Ahora, la estrategia de defensa o, mejor dicho, de mitigación de daños, no pasa por argumentar lo inargumentable, sino por demostrar un cambio de rumbo inmediato y creíble. Aquí van unos pasos que deberían ser obvios, pero la experiencia demuestra que no lo son:

1. Auditoría Urgente: Lo primero es saber qué tenés instalado. Usá herramientas de escaneo de cookies o simplemente la función de desarrollador de tu navegador para listar cada una de las cookies que tu sitio instala antes y después del consentimiento. Te sorprenderías de la cantidad de ‘pasajeros clandestinos’ que vienen empaquetados en un simple plugin de WordPress o en un script de análisis.

2. Implementar un Banner de Consentimiento Real: El ‘consentimiento’ que exige la ley (Art. 5, Ley 25.326) debe ser libre, expreso e informado. Un banner que solo tiene un botón de ‘Aceptar’ o que asume el consentimiento si el usuario sigue navegando (‘cookie wall’) no cumple con ninguno de estos requisitos. Un banner adecuado debe:

  • Informar de manera clara y sencilla sobre el uso de cookies.
  • Ofrecer botones equivalentes para ‘Aceptar’ y ‘Rechazar’. Un ‘no’ tan fácil como un ‘sí’.
  • Permitir un consentimiento granular, es decir, que el usuario pueda elegir aceptar las cookies de análisis pero rechazar las de publicidad.
  • No instalar ninguna cookie no esencial (todas excepto las técnicas) antes de que el usuario haya realizado una acción afirmativa de aceptación.

3. Una Política de Cookies Comprensible: Necesitás una página dedicada a tu Política de Cookies, redactada en un español claro y no en ‘legalese’ copiado y pegado de un sitio europeo. Debe listar cada cookie por su nombre, el proveedor (ej. Google, Facebook), su propósito (ej. ‘medir la interacción del usuario con el contenido’) y su duración. La transparencia no es una opción.

4. Documentar Todo: Guardá registros del consentimiento. Existen plataformas de gestión de consentimiento (CMP) que hacen esto de forma automática. Si te denuncian, poder demostrar que el usuario X aceptó las cookies en tal fecha y hora es tu mejor defensa.

Consejos para el Acusador: Cómo Articular lo Obvio

Del otro lado del mostrador, si sentís que tu navegación está siendo monitoreada sin tu permiso, felicitaciones: probablemente tengas razón. Para que tu reclamo pase de ser una queja en el aire a una denuncia formal con posibilidades de prosperar, necesitás orden y pruebas.

1. La Evidencia es la Reina: Tu principal herramienta es la captura de pantalla y la grabación de video. Documentá el proceso: ingresás al sitio por primera vez en una ventana de incógnito. ¿Aparece un banner? ¿Qué opciones da? Más importante aún, demostrá que las cookies se instalan antes de que hagas clic en ‘Aceptar’.

2. La Prueba Técnica Simplificada: No necesitás ser un hacker. Simplemente apretá F12 en tu navegador (Chrome, Firefox, Edge) para abrir las ‘Herramientas de Desarrollador’. Andá a la pestaña ‘Aplicación’ (en Chrome) o ‘Almacenamiento’ (en Firefox), y buscá la sección ‘Cookies’. Sacá una captura de pantalla de esa sección justo al cargar la página, antes de interactuar con cualquier banner. Si ahí aparecen cookies de seguimiento (como ‘_ga’ de Google Analytics o ‘_fbp’ de Facebook), ya tenés una prueba contundente de que se están instalando sin consentimiento previo.

3. Identificar al Responsable: Una denuncia ante la AAIP debe dirigirse contra el ‘responsable de la base de datos’, que es la persona o empresa titular del sitio web. Generalmente, esta información se encuentra en los ‘Términos y Condiciones’ o en el ‘Aviso Legal’. Si no está, un simple trámite en NIC.ar para saber quién registró el dominio puede darte la CUIT y la razón social.

4. La Denuncia Formal: El reclamo se inicia a través de la plataforma de Trámites a Distancia (TAD) o directamente ante la AAIP. Tenés que relatar los hechos de forma clara, adjuntar las pruebas (capturas de pantalla, videos) e invocar la violación de la Ley 25.326, específicamente el Artículo 5 (Consentimiento) y el Artículo 6 (Calidad de los datos). El objetivo es que la autoridad intime al responsable a adecuar su sitio y, eventualmente, le aplique las sanciones correspondientes.

El Panorama General: Más Allá del Banner Molesto

Es tentador reducir toda esta discusión a la molestia que genera un pop-up más en nuestra vida digital. Pero el banner de cookies es solo el síntoma visible de una enfermedad mucho más profunda: un modelo de negocio basado en la vigilancia masiva y la explotación de perfiles de comportamiento, a menudo operando en una zona gris de alegalidad auto-percibida. La ley existe y es clara, pero ha sido convenientemente ignorada durante años bajo el pretexto de la innovación y el crecimiento.

La asimetría de poder es evidente. Un usuario individual contra la maquinaria de una corporación y sus enjambres de scripts de terceros. Sin embargo, el marco legal, por más lento y burocrático que sea, es la única herramienta real de contrapeso. La Ley 25.326 prevé sanciones que van desde el apercibimiento hasta multas económicas significativas y la suspensión de la base de datos. Si bien históricamente la aplicación de multas no ha sido tan agresiva como en otras jurisdicciones, la tendencia global y la creciente conciencia de los usuarios están empujando a la AAIP a tomar un rol más activo.

El riesgo ya no es meramente teórico. Las denuncias se multiplican y las primeras sanciones por estas prácticas ya son una realidad. Para las empresas, seguir operando bajo la lógica del ‘Far West’ digital es una apuesta cada vez más arriesgada. Adaptarse no es solo una cuestión de cumplir una norma; es una decisión estratégica. Un sitio que respeta la decisión de sus usuarios, que es transparente sobre lo que hace con sus datos y que pide permiso de forma honesta, está construyendo confianza. Y la confianza, a largo plazo, es un activo mucho más valioso que los datos obtenidos a escondidas.

En definitiva, la correcta gestión de las cookies no es un problema técnico que se soluciona con un plugin. Es un reflejo de la ética de una organización. Y en un mundo donde la privacidad es el nuevo lujo, tratarla con desdén es, simplemente, un mal negocio.

Vas a querer leer