Leyendo y comentando con mi compañero Gontzal Gallo sobre la regulación de las cookies, concluimos que la confusa redacción del artículo 22.2 de la LSSI nos generaba más dudas terminológicas que soluciones reales, teniendo que buscar las soluciones interpretativas a través de la doctrina emanada por la AEPD o por el GP Art 29.  Esta última es la solución sencilla, y la que mejor se adapta a las necesidades del letrado, pero como juristas nos dejó simple y llanamente desorientados.

El objeto de debate radica en la  mención especial a la información y consentimiento que hace el artículo indicado, en la utilización «de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios», en materia de protección de datos. El silogismo que nos guía es el siguiente: Si una norma indica que se solicite el consentimiento informado conforme a los criterios de la LOPD será porque subjetivamente y objetivamente se encuentra dentro de la LOPD, es decir, habrá sujetos actuando dentro de los supuestos contemplados como Responsables de ficheros y tratarán datos personales. El ámbito subjetivo de aplicación de la LOPD puede ser asumible, salvo en los supuestos exceptuados, pero nos genera un interrogante el ámbito objetivo: ¿Toda cookie contiene, al menos, 1 dato de carácter personal identificado o identificable? ¿Cuál es?

Si de la búsqueda anterior se concluye que no hay ningún dato personal no tendría sentido solicitar el consentimiento informado de la LOPD, o sería una remisión normativa sin criterio, dado que lo mismo pudiera haber solicitado el consentimiento general recogido en el Cc, en los artículos 1261 y sg o la información en materia de prestamos con garantía real.

De cualquiera de las maneras, la búsqueda deberá definir la naturaleza jurídica del dispositivo de almacenamiento y recuperación de datos en equipos terminales, determinando si es equivalente al término cookie, y si dentro de los mismos siempre existe, al menos uno, un dato de carácter personal.