cookies

Una reciente decisión de la autoridad austríaca de protección de datos (DSB) ha vuelto a situar a Microsoft en el centro del debate sobre la privacidad digital, especialmente cuando se trata de menores. A raíz de una denuncia presentada por la organización Noyb, la DSB ha concluido que Microsoft instaló cookies de rastreo en el dispositivo de un alumno que utilizaba Microsoft 365 Education sin haber obtenido su consentimiento. Según la propia política de privacidad de la empresa, estas cookies sirven para analizar el comportamiento del usuario, recopilar datos del navegador y utilizarlos con fines publicitarios. La autoridad ha concedido a Microsoft un plazo de cuatro semanas para poner fin a este rastreo y adaptarse a la normativa europea.

Este caso no es un hecho aislado. En junio de 2024, Noyb ya había presentado dos reclamaciones ante la autoridad austríaca relacionadas con el uso de Microsoft 365 Education en las escuelas. La primera se resolvió en octubre de 2025, cuando la autoridad consideró que Microsoft había vulnerado el derecho de acceso reconocido en el artículo 15 del Reglamento General de Protección de Datos (RGPD). En aquel momento, la organización denunciaba que Microsoft vulneraba la privacidad de los menores mientras trasladaba la responsabilidad legal a las escuelas y a las autoridades educativas locales.

Uno de los problemas de fondo que destaca Noyb es el desequilibrio de poder entre las grandes empresas tecnológicas y las escuelas o administraciones públicas. Proveedores como Microsoft tienen una posición de mercado tan dominante que pueden imponer contratos y condiciones de uso bajo una lógica de “o lo aceptas o te quedas fuera”. En este contexto, las escuelas no tienen ninguna capacidad real para negociar cómo se tratan los datos del alumnado ni para influir en las decisiones técnicas que adopta la compañía. A pesar de ello, Microsoft suele presentarse como un simple “encargado del tratamiento”, mientras traslada la mayor parte de la responsabilidad legal a las escuelas, que formalmente actúan como “responsables del tratamiento”.

En la práctica, este reparto de roles no refleja la realidad. Las escuelas no deciden ni los medios ni las finalidades reales del tratamiento de datos, tal y como exige el RGPD para ser consideradas responsables efectivas. Sin embargo, son ellas las que acaban asumiendo los riesgos legales.

Las consecuencias de este sistema son especialmente graves para las personas afectadas, en este caso los estudiantes. Cuando intentan ejercer sus derechos de protección de datos, como el derecho de acceso, a menudo se encuentran con que Microsoft no responde a las solicitudes, mientras que las escuelas no pueden dar respuesta porque no disponen de toda la información ni del control efectivo sobre los datos. Esto crea una situación de “cumplimiento formal”, pero vacía de contenido real, que acaba negando derechos básicos reconocidos por el RGPD.

A todo ello se añade una notable falta de transparencia. Determinar qué políticas de privacidad, contratos o documentos se aplican realmente al uso de Microsoft 365 Education es una tarea compleja incluso para profesionales del derecho. La información se encuentra dispersa en múltiples documentos, a menudo con contenidos vagos o contradictorios, y sin explicar claramente qué ocurre con los datos de los menores. Tal como señala Maartje de Graaf, abogada especializada en protección de datos en Noyb, la información facilitada por Microsoft es tan imprecisa que “ni siquiera un abogado cualificado puede entender completamente cómo se tratan los datos personales en Microsoft 365 Education”.

La segunda denuncia resuelta recientemente hace aún más evidente la gravedad de la situación. La autoridad austríaca ha confirmado que Microsoft instaló cookies de seguimiento en el dispositivo de un menor sin su consentimiento, y que dichas cookies se utilizan con fines publicitarios. Tanto la escuela como el Ministerio de Educación austríaco afirmaron que desconocían completamente la existencia de este rastreo. Esto plantea un escenario preocupante: millones de menores en Europa podrían estar siendo rastreados sin base legal ni conocimiento de las instituciones educativas que utilizan estos servicios.

Las posibles consecuencias de esta decisión van mucho más allá del caso concreto. Millones de estudiantes y docentes en toda Europa utilizan Microsoft 365 Education, y millones más emplean Microsoft 365 en empresas y administraciones públicas. El rastreo de usuarios sin consentimiento vulnera claramente la normativa europea de protección de datos y pone en riesgo la conformidad legal de todas las organizaciones que utilizan estas herramientas. De hecho, algunas autoridades de protección de datos, como las alemanas, ya habían expresado serias dudas sobre la compatibilidad de Microsoft 365 con el RGPD.

En resumen, este caso ejemplifica un problema estructural: las grandes empresas tecnológicas concentran el poder de decisión y los beneficios, pero intentan trasladar las obligaciones legales a sus clientes europeos. Tal como resume Max Schrems, fundador de Noyb, si Microsoft no cambia de manera profunda el funcionamiento y la gobernanza de sus productos, muchas organizaciones europeas simplemente no podrán cumplir con sus obligaciones legales en materia de protección de datos. La decisión austríaca es, por tanto, un toque de atención que va mucho más allá de un solo caso o de un solo país.

Hoy en día, las cookies son una herramienta esencial de la sociedad de la información, ya que permiten a los prestadores de servicios obtener datos de los usuarios y utilizarlos con diferentes finalidades, como puede ser, por ejemplo, para prestarle un servicio en concreto o facilitarle publicidad ajustada a sus gustos y costumbres de navegación.

Dada la afectación de las cookies en la privacidad de las personas, resulta ineludible la implementación de un sistema de información que permita a los usuarios ser plenamente conocedores de los usos que se dará a sus datos y decidir sobre los mismos. otorgamiento de su consentimiento.

A fin de garantizar estos parámetros, el pasado mes de febrero de 2023, el Comité Europeo de Protección de Datos (CEPD), emitió las Directrices 03/2023 sobre patrones engañosos en las redes sociales. Y, a fin de ayudar a los prestadores de servicios a seguir las indicaciones de las citadas directrices, la Agencia Española de Protección de Datos actualizó su Guía sobre el uso de las cookies. Estos nuevos criterios deben implementarse antes del 11 de enero de 2024.

La guía incluye un conjunto de recomendaciones que resultarán de aplicación en aquellos casos en los que la utilización de las cookies implique el tratamiento de datos personales. Y, por tanto, los responsables del tratamiento tendrán que asegurarse de cumplir tanto con las exigencias propias que regula la LSSI, así como también la normativa vigente en materia de protección de datos.

Uno de los primeros aspectos a los que hace referencia la guía, es la necesidad de identificar cuáles son las cookies utilizadas en el sitio web y cuál es su finalidad. Se trata de un paso esencial para poder cumplir con las principales obligaciones de cookies, que son la obligación de transparencia y la obligación de obtención del consentimiento.

También será necesario tener presente que estas obligaciones no aplicarán a todas las cookies, sino que algunas quedan exceptuadas. Por ejemplo, en el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas como puede ser la opción del idioma, son cookies técnicas que no precisan de consentimiento, sin que puedan ser utilizadas para otros fines.

Cuando hablamos de la obligación de transparencia, estamos haciendo referencia a la necesidad de informar a los usuarios de forma clara y completa sobre el uso de sus datos. Es por ello que habrá que informar sobre cuál es la función genérica de las cookies, qué tipo de cookies se recogen y cuál es su finalidad, quién las utiliza, cómo aceptar, denegar o revocar el consentimiento por el uso de las cookies, cómo se transferirán a terceros países, si implica la elaboración de perfiles, el período de conservación y el resto de información relativa al tratamiento de datos que nos determina el artículo 13 del RGPD, como por ejemplo el ejercicio de derechos de los interesados.

No sólo es importante la información que debe trasladarse al usuario, sino que hay que prestar especial atención también a cómo se facilita. Por eso es necesario asegurarse de que la información sea concisa, transparente e inteligible, mediante el uso de un lenguaje claro y sencillo que pueda ser entendido por el usuario.

Otro aspecto a tener en cuenta es la forma de acceso a la información, puesto que debe ser claramente visible por el usuario sin que implique un esfuerzo por él. Con el objetivo de evitar la fatiga informativa, puede ofrecerse la información mediante capas. De modo que, desde la primera capa informativa se pueda acceder a un enlace o acceder a la información completa de las cookies.

Toda esta información debe ser facilitada para que el usuario otorgue su consentimiento siendo plenamente conocedor sobre cómo se utilizarán sus datos personales.

Para la obtención del consentimiento será necesario tener presente que se lleve a cabo mediante fórmulas que impliquen una inequívoca acción afirmativa por parte del usuario. De modo que habrá que presentarle las acciones de aceptar o rechazar las cookies en lugar y formato destacados, fácilmente visibles.

Otro aspecto relevante es que el acceso al servicio web y sus funcionalidades, no podrán condicionarse a que el usuario consienta el uso de cookies. Pudiéndose presentar situaciones en las que la no aceptación de la utilización de cookies puede impedir el acceso al sitio web oa la utilización total o parcial del servicio, siempre que se informe al usuario y se ofrezca por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies, la cual no debe ser necesariamente gratuita.

Se trata de un conjunto de directrices que permiten ayudar a trasladar la información sobre el uso de cookies a los usuarios, pero huyan de la estandarización de textos, ya que debe ser plenamente adecuado a las características particulares de cada página web. Y, de acuerdo con todo lo anterior, tendrán que ser revistas los textos web.

Se puede consultar el texto completo del informe del Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos en el siguiente enlace: https://www.aepd.es/guias/guia-cookies.pdf

Y, las Directrices 03/2023 sobre patrones engañosos en las redes sociales, del Comité Europeo de Protección de datos (CEPD):

https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf

La CNIL, Commission nationale de l’informatique et des libertés (Comisión nacional de informática y libertades de Francia) ha publicado, en fecha 13 de octubre de 2021, un artículo sobre las alternativas a las cookies de “terceros” y cuáles son las consecuencias del consentimiento. En el mismo artículo la CNIL realiza la siguiente clasificación de alternativas al uso de cookies:

• Cookies “de origen” i huellas dactilares del navegador

De forma residual se utiliza la técnica denominada “fingerprinting” consistente en la identificación del usuario mediante las características técnicas de su navegador. También se utiliza residualmente las cookies “de origen” para devolver datos a través de llamadas URL en el dominio del anunciante o a través de técnicas de delegación de subdominios (“encubrimiento CNAME”). (más…)

Mediante un nombre tan aparentemente inofensivo como el de cookies (galletitas) hacemos referencia a aquellos programas que permiten registrar y guardar información personal sobre los usuarios y preferencias de navegación por internet, lo que implica realizar una pequeña instalación en el equipo del usuario. Aunque las cookies sirven a menudo sólo para registrar datos muy elementales que facilitan la navegación, como la lengua preferida o la moneda con la que queremos pagar, no siempre estamos hablando de datos banales, ya que, en muchos casos, registran opciones y preferencias de navegación y pueden servir para la elaboración de perfiles y la configuración de publicidad personalizada. Es el caso de las cookies llamadas de seguimiento. En este caso, podemos hablar de verdaderas afectaciones a la privacidad de las personas y, en algunos casos, de una recogida de datos personales. (más…)