El Informe 0083/2014 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación del artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) a las universidades. Este artículo regula el uso de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los usuarios, como las cookies, y establece que los prestadores de servicios deben obtener el consentimiento informado de los usuarios.
El informe comienza definiendo el ámbito subjetivo de aplicación del artículo 22.2 LSSI, que se refiere a los prestadores de servicios de la sociedad de la información. Estos servicios son aquellos prestados normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario. La LSSI se aplica tanto a servicios remunerados como a aquellos no remunerados por sus destinatarios, siempre que constituyan una actividad económica para el prestador.
La AEPD explica que la LSSI no se aplica a cualquier tipo de comunicación electrónica, sino específicamente a los servicios de la sociedad de la información. Esto incluye servicios como la venta de bienes y servicios por vía electrónica, la provisión de acceso a la red, la transmisión de datos, el alojamiento de información y la provisión de instrumentos de búsqueda.
El informe luego se centra en la consulta específica de una universidad pública. Las universidades, en su función principal de prestar un servicio público de educación superior, no se consideran prestadores de servicios de la sociedad de la información y, por lo tanto, no están sujetas al artículo 22.2 LSSI. Sin embargo, si una universidad realiza actividades económicas a través de su sitio web, como la venta de libros o la oferta de títulos propios, sí se convierte en prestadora de servicios de la sociedad de la información y debe cumplir con las obligaciones del artículo 22.2 LSSI.
El informe también analiza diferentes tipos de cookies utilizadas por la universidad consultante. Las cookies de sesión, como JSESSIONID, que son necesarias para la autenticación del usuario y la prestación de un servicio solicitado, están exentas de las obligaciones del artículo 22.2 LSSI. Sin embargo, las cookies persistentes y de terceros, como las utilizadas para compartir contenidos en redes sociales o para análisis de audiencia, requieren el consentimiento informado del usuario.
En resumen, el informe concluye que las universidades no están sujetas al artículo 22.2 LSSI en su función principal de educación superior, pero sí deben cumplir con esta normativa si realizan actividades económicas a través de su sitio web. Además, el uso de ciertos tipos de cookies requiere el consentimiento informado de los usuarios, salvo en casos específicos donde las cookies son estrictamente necesarias para la prestación de un servicio solicitado.