La aplicación de las normas relativas a cookies (entre otros dispositivos de almacenamiento y recuperación de información) sigue planteando dudas. Recientemente, la cuestión ha versado sobre qué sucedería a un prestador de servicios que siguiera la guía facilitada por la Agencia Española de Protección de Datos y diversas asociaciones representativas d ela industria y que posteriormente fuera el objeto de un procedimiento sancionador por haber incumplido las obligaciones que la Ley impone. Esto nos lleva a hablar del concepto de confianza legítima.
A la hora de definir el concepto, resulta ilustrativo el dictamen de 22 de enero de 1998 del Consejo de Estado, según el cual
el principio de protección de la confianza legítima, cuyo significado no es ajeno al principio de buena fe,…, es un principio de carácter general vinculado a los principios de seguridad jurídica, buena fe, interdicción de la arbitrariedad y otros con los que suele combinarse y, por supuesto, no requiere la preexistencia de derechos subjetivos, que tienen otras vías de protección”
El dictamen de 16 de diciembre de 1994 profundiza en el concepto al señalar que
lo que ampara el principio de protección de la confianza legítima es la adopción y aplicación de medidas de forma que con ellas no resulte sorprendida la buena fe y, por consiguiente, la previsión de los administrados; no el que a partir de un determinado momento entre en vigor con plenos efectos una medida adoptada y reconocida con anterioridad.
La Sentencia del Tribunal Supremo de 1 de febrero de 1990 incluye de nuevo el concepto de confianza legítima
En el conflicto que se suscita entre la legalidad de la actuación administrativa y la seguridad jurídica derivada de la misma, tiene primacía esta última por aplicación de un principio[…] y que consiste en el «principio de protección de la confianza legítima que ha de ser aplicado, no tan sólo cuando se produzca cualquier tipo de convicción psicológica en el particular beneficiado, sino más bien cuando se basa en signos externos producidos por la Administración lo suficientemente concluyentes para que le induzcan razonablemente a confiar en la legalidad de la actuación administrativa
Así, según esta Sentencia así como la de 7 de octubre de 1991, la existencia de confianza legítima de los administrados se basa en la producción por parte de la Administración de signos y actos externos propios, como la publicación de criterios, siempre y cuando éstos sean lo suficientemente concluyentes como para originar la confianza del ciudadano en la legalidad de la actuación administrativa, confianza que no puede ser defraudada sin más.
El requisito de que se hayan producido estos actos externos, y la influencia sobre los ciudadanos que deben producir, aparecen reafirmado STS 13239/1990, de 8 de junio de 1990
no cuando se produzca cualquier tipo de convicción psicológica subjetiva en el particular, sino cuando dicha «confianza» se basa en signos o hechos extremos producidos por la Administración lo suficientemente concluyentes, para que induzcan racionalmente a aquél, a confiar en la apariencia de legalidad de una actuación administrativa concreta, moviendo su voluntad a realizar determinados actos e inversiones de medios personales o económicos, que después no concuerdan con las verdades consecuencias de los actos que realmente y en definitiva son producidos con posterioridad por la Administración
En igual sentido Sentencia de 1 de marzo de 1991, Sala de lo contencioso-administrativo, Sección 3,
el denominado «principio de protección a la confianza legítima» al que tiene derecho todo ciudadano en sus relaciones con la Administración, no tan sólo porque se produzca en el mismo cualquier tipo de convicción psicológica, sino únicamente cuando la creencia del ciudadano se basa en signos o actos externos, que la Administración produce, lo suficientemente concluyentes para inducir razonablemente a aquél, a realizar u omitir una actividad que directa o indirectamente habría de repercutir en su esfera patrimonial o sus situaciones jurídicas individualizadas.
La legítima confianza se basará así en signos externos producidos por la propia Administración lo suficientemente concluyentes para que le indujesen razonablemente a confiar en la legalidad de su actuación. Por lo tanto, sería absurdo iniciar un procedimiento sancionador contra un sujeto que ha adecuado su conducta a los criterios que la Administración ha emitido.
Visto lo anterior, la pregunta es si en este caso realmente se han cumplido los requisitos necesarios para alterar la conducta del ciudadano. En mi opinión, sí que efectivamente se cumplen a la vista de lo siguiente:
– En el texto de la nota de prensa aparece el órgano público competente en la materia como participante en la redacción de la guía.
La Agencia Española de Protección de Datos (AEPD) y las asociaciones Adigital, Autocontrol e IAB Spain han presentado la primera guía en Europa elaborada conjuntamente por la autoridad de protección de datos y los representantes de la industria.
– La guía sobre las normas de uso de cookies es fácilmente localizable en la sede electrónica de la Agencia de Protección de Datos. Esta guía constituye un claro ejemplo de signo externo, en la que se deberían materializar los criterios de la Agencia.
– La guía incluye de manera destacada el logotipo de la Agencia en su portada, indicando así su participación y la inclusión de los criterios que (previsiblemente) seguirán.
– Participando el órgano competente en la materia, se crea una apariencia clara de legalidad respecto a su contenido.
Por lo tanto, los prestadores de servicios que adecúen su actuación a la guía facilitada por la Agencia Española de Protección de Datos contarían con un mecanismo para su protección en el caso de que posteriormente este órgano decidiese sancionar pese a cumplir con todas las obligaciones que la misma incluye.