¿Se aplica la «normativa de cookies» a las Administraciones Públicas?

por Jorge Campanillas Ciaurriz

publicado el 16 noviembre 2021

Categorías: Administración Pública / Comercio electrónico / LSSI

Esta es una pregunta que surge cada cierto tiempo y que genera en muchas ocasiones discusiones puesto que podemos observar que hay Administraciones Públicas que tienen el famoso banner de uso/aceptación de cookies (otra cosa es si está bien implementado) y muchísimas otras que no; o incluso la propia AEPD estableciendo que solo utiliza cookies técnicas, a priori, exentas del cumplimiento de la LSSI.

La discusión se ha basado en la consideración o no de una Administración Pública como un prestador de servicio de la sociedad de la información según las definiciones establecidas en la LSSI y que serían quienes deben cumplir con las obligaciones, estando entre ellas las establecidas en el artículo 22.2 sobre la utilización de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios.

«Prestador de servicios» o «prestador»: persona física o jurídica que proporciona un servicio de la sociedad de la información

Servicios de la sociedad de la información» o «servicios»: todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.

El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.

Normalmente se ha entendido que las AAPPs no son prestadores de servicio en sentido estricto por esta falta a priori de actividad económica y por ello exentas de esa obligación.

Finalmente la AEPD en la resolución PS/00219/2021 determina en qué casos se puede establecer que una AAPP es un prestador de servicio acorde con la LSSI y por ello obligada a cumplir con los requisitos de informar y solicitar el consentimiento para la implantación de las cookies en los navegadores de los usuarios/as:

La LSSI es aplicable únicamente a los prestadores de servicios de la sociedad de la información; en otras palabras, es aplicable a las personas físicas o jurídicas que realicen actividades económicas por Internet u otros medios telemáticos. Por tanto, una Administración Pública, como en este caso, La Consejería de Educación del Principado de Asturias, (CIFP ***LOCALIDAD.1), no encajaría dentro de la LSSI, salvo que, a través de la página web de dicha Administración Pública se realizase una actividad económica, como por ejemplo la venta de publicaciones o la gestión de la bolsa de trabajo para la contratación de personal eventual.

Es decir una AAPP tendra que cumplir con la normativa de cookies si presta un servicio de la sociedad de la información como una venta de publicaciones, entradas, etc.

Las AAPPs tendrán que revisar sus portales a fin de determinar si están prestando estos servicios, incluyen cookies de las no exentas para tener que informar al respecto y dar la posibilidad al usuario/a de permitir su instalación.