Una sentencia historica del Tribunal de Justicia de la UE (TJUE) en el caso Bundeskartellamt ha establecido que las cookies de analitica web pueden, y frecuentemente lo hacen, recopilar datos personales sensibles segun el RGPD. Esta decision tiene profundas implicaciones para cada organizacion que utiliza herramientas de analitica o marketing basadas en cookies.

Antecedentes del caso

El caso se origino a partir de una determinacion de 2019 de la autoridad de competencia alemana de que una importante red social estaba abusando de su posicion dominante en el mercado. La autoridad ordeno cambios en los terminos de servicio de la empresa, especificamente dictaminando que la recopilacion de datos fuera de la plataforma a traves de cookies y rastreadores requeria el consentimiento del usuario. Cuando el caso llego al TJUE, el tribunal emitio resoluciones que fueron mucho mas alla del alcance original.

La determinacion sobre datos sensibles

El tribunal determino que las tecnologias de seguimiento recopilan datos sensibles cuando los usuarios visitan ciertas categorias de sitios web o utilizan aplicaciones especificas. De manera crucial, el tribunal especifico que un conjunto de datos completo debe ser tratado como datos sensibles si contiene cualquier informacion sensible. Si incluso un visitante de miles esta navegando contenido relacionado con la salud o visitando sitios relacionados con la orientacion sexual, creencias politicas o afiliaciones religiosas, todos los datos de navegacion recopilados deben recibir las protecciones reforzadas requeridas para datos sensibles segun el RGPD.

Este razonamiento se aplica no solo al seguimiento de redes sociales sino a cualquier servicio de analitica basado en cookies, ya que los mecanismos de seguimiento subyacentes operan de manera identica.

Consecuencias para la analitica basada en cookies

Los datos sensibles solo pueden procesarse bajo bases legales muy especificas, y para la analitica web la unica opcion realista es el consentimiento explicito -- un estandar mas alto que el consentimiento ordinario. El ecosistema publicitario actual ya tiene dificultades para obtener un consentimiento basico valido a traves de banners de cookies. Cumplir con el umbral del consentimiento explicito es funcionalmente imposible para la mayoria de las implementaciones.

Adicionalmente, el procesamiento a gran escala de datos sensibles activa las evaluaciones de impacto de proteccion de datos (EIPD) obligatorias segun el Articulo 35 del RGPD. Muchos sitios web que utilizan analitica basada en cookies necesitarian evaluar y justificar formalmente los riesgos de privacidad de alimentar los datos de navegacion de los visitantes a redes publicitarias.

Las implicaciones mas amplias

Esta sentencia hace que la posicion de cumplimiento de las herramientas de analitica basadas en cookies sea significativamente mas precaria. Las organizaciones que operan sitios web relacionados con salud, politica, religion u otros temas sensibles enfrentan el riesgo mas inmediato. Sin embargo, dado que practicamente cualquier sitio web puede ser visitado por usuarios cuyos patrones de navegacion revelan informacion sensible, la sentencia se aplica efectivamente de manera generalizada. La autoridad noruega de proteccion de datos ya ha emitido orientacion que refleja esta interpretacion.

Los enfoques de analitica sin cookies que evitan recopilar datos personales por completo eluden este problema al no crear conjuntos de datos que podrian contener informacion sensible.