Nueva normativa sobre el uso de cookies

de J. Carlos Fernández
4, agosto

Las políticas de cookies ya no es lo que era. Y así nos lo ha recordado la Agencia Española de Protección de Datos en su publicación "Guía sobre el uso de cookies" del año 2019 y que recientemente ha actualizado con nuevas medidas que suponen cambios importantes.

Es vital que se analice la repercusión que esta nueva normativa conllevará a los responsables de las páginas webs, entre otras plataformas, ya que tendrá un impacto directo en su funcionamiento, ya sea de forma parcial o total. Y es que se van a tener que actualizar, tanto a nivel técnico como funcional o de contenido, gran cantidad de páginas de nuestro país y de la Unión Europea.

Se acabó el copiar y pegar, como se viene haciendo de forma sistemática, la política de cookies de otras webs, sin poner atención al contenido. Ahora toca analizar las cookies de forma precisa e individual. Determinando cuales son necesarias y cuales no. Teniendo esto claro, se informará al usuario de una forma transparente y, si es necesario, se le solicitará su consentimiento, conforme a los nuevos requerimientos.

Se tiene que tener muy presenta el día 31 de octubre de este año, que es la fecha límite que estable la AEPD para la transición de la actual política de cookies a la nueva explicada en este artículo.

El artículo 22 de la LSSI

Esta nueva norma está prevista en el apartado segundo del artículo 22 de la Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico (LSSI), en relación con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos (RGPD o GDPR por sus siglas en inglés) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

Esta actualización es el fruto del trabajo del Grupo de Trabajo del Artículo 29, que era el órgano consultivo independiente de la Unión Europea sobre protección de los datos y la vida privada, creado en virtud de lo previsto en el citado artículo de la Directiva 95/46/CE, que posteriormente fue sustituido por el Comité Europeo de Protección de Datos (CEPD).

El citado artículo 22 dispone lo siguiente:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.”

Cuando la ley mencion las cookies, esta hace referencia tanto a las más conocidas como a cualquier tecnología análoga (como pueden ser local shared objects, web beacons, huella digital del dispositivo, etc.) que igualmente permiten guardar y recuperar datos de un dispositivo, ya sea este un ordenador, un teléfono móvil o una tablet.

El artículo 22 de la LSSI afecta tanto a personas físicas como jurídicas, que por cualquier motivo haga uso de un servicio de la sociedad de la información.

Obligaciones

Estas son las dos obligaciones principales que estable el artículo 22: el consentimiento y la transparencia.

El consentimiento del uso de cookies

Aunque se indica que se podrá obtener el consentimiento infiriéndolo de una acción inequívoca realizada por el usuario, siempre en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies, ya no se permite que por el simple hecho de navegar por la web se interprete como una aceptación de las cookies, lo que es muy habitual hasta el momento. Esto puede asimilarse al consentimiento expreso requerido con la GDPR y que no permite que este sea tácito. Esto deja fuera de juego métodos como el de usar el scroll para dar por aceptadas las cookies por parte del usuario.

Sin duda, el que el usuario haga clic en un botón es la forma mas sencilla para demostrar que el consentimiento ha sido obtenido de acuerdo a los requisitos de la nueva norma y evitando así problemas en el futuro.

La acción para rechazar las cookies debe ser similar en cuanto al funcionamiento a la de aceptación, luego no se puede implementar un sistema más complejo para el usuario.

Pueden existir situaciones en las que si el usuario rechaza el uso de cookies se le impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se notifique correctamente al respecto al usuario y se le facilite una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. Los servicios de ambas alternativas tienen que ser genuinamente equivalentes, y nunca este servicio lo puede proporcionar una entidad ajena al editor.

¿Cuándo se puede obtener el consentimiento?
  • Al solicitar el alta en un servicio.
  • Durante el proceso de configuración del funcionamiento de la página web o aplicación.
  • Mediante la plataforma de gestión del consentimiento (consent management platform o CMP).
  • Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido.
  • Mediante el formato de información por capas.
  • Usando la configuración del navegador.
Muro de cookies

Otra de las prohibiciones es la del uso del denominado muro de cookies. Esta es la típica ventana que se nos muestra al entrar en una web y que tenemos que aceptar para poder continuar navegando. Se entiende que esto tampoco es un consentimiento válido ya que "dado que al interesado no se le presenta una elección genuina, el consentimiento no se da libremente".

Aunque se permite una excepción si se cumplen tres criterios: primero que se informe correctamente al usuario, después que se faciliten alternativas si se rechazan las cookies y por último que todas ellas sean ofrecidas por el mismo editor.

En caso de usar cookies de terceros, por ejemplo, de Google Analytics o Cloudflare, existe la opción de informar de como eliminarlas usando, bien, empleando los sistemas de estos terceros o bloqueándolas localmente con el navegador del cliente. Es habitual facilitar esta información en la actulidad. Casí en todas las políticas de cookies nos podemos encontrar un pequeño tutorial de como bloquearlas con Microsoft Edge, Firefox, Chrome o Safari. O en su defecto, un link a la página del fabricante que indica como realizarlo. 

La transparencia en el uso de cookies

La norma deja claro que el consentimiento se debe de otorgar de una forma libre e informada. Los usuarios deben de tener información clara y completa, en particular de los fines del tratamiento de los datos. Se hace especial hincapié de cual es el motivo y para que se están usando las cookies en la página web.

En la política de cookies disponibles deberá de incluirse, al menos, lo siguiente:

  • Definición y función genérica de las cookies
  • Información sobre el tipo de cookies que se utilizan y su finalidad
  • Identificación de quien usa las cookies
  • Explicación sobre la forma de aceptar, denegar o revocar el consentimiento del uso de cookies
  • Si fuera el caso, información sobre la transferencia de datos a terceros países.
  • Si se elaboran perfiles con toma de decisiones se tendrá que informar de acuerdo con lo establecido en la RGPD.
  • Periodo de conservación
  • Sobre el resto de información relacionada con el RGPD se puede remitir al usuario a la política de privacidad.

Se recomienda tener una rutina de revisión periódica para mantener la información actualiza. Especialmente cuando implementamos sistemas de terceros, por ejemplo, Google Analytics para obtener métricas del tráfico de nuestros usuarios. Estos proveedores pueden (y de hecho lo harán) cambiar sus cookies y si no lo revisamos con frecuencia se nos pueden escapar cambios importantes.

La información no se la podemos proporcionar al usuario de cualquier manera. Debe ser concisa, transparente e inteligible. Tal y como se indica "debe resultar comprensible al integrante medio de la audiencia objetivo". Siendo lo más sucinta posible para evitar el cansancio informativo. Se tiene que usar un lenguaje claro y evitando el uso de frases que induzcan a confusión o desvirtúen el mensaje. Además, el acceso a esta información debe ser sencillo.

Información mediante capas

Se recomienda el uso de capas a la hora de mostrar la información, similar a como se hace en algunas webs respecto a la RGPD. Esto permite al usuario el ir directamente a la parte de información que más le interesa, evitando la fatiga informativa, pero ello sin perjuicio de disponer de toda la información en un único lugar.

En una primera capa, que se puede denominar de forma genérica "cookies", se incluiría la siguiente información:

  • Identificación al responsable de la web.
  • Finalidad de las cookies que se usarán.
  • Indicar si son cookies propias o de terceros. No es necesario identificar a los terceros en esta capa.
  • Información genérica sobre el tipo de datos recopilados y utilizados en caso de que se elaboren perfiles de los usuarios.
  • Modo en el que el usuario acepta, configura y rechaza el uso de cookies.
  • Un link claramente visible dirigido a una segunda capa en la que se incluya una información más detallada. Este mismo enlace podrá utilizarse para llevar al usuario al panel de configuración de cookies, siempre que el acceso sea directo.

Es importante que la información que se proporciona al usuario, para que pueda consentir la utilización de las cookies, se encuentre separada de la información que se le ofrezca sobre otros temas. Se tiene que mostrar, por un lado, la aceptación de la política de privacidad o de cookies, y por otro, los términos o condiciones de uso de la página web o del servicio. No podemos juntarlo todo, para aprovechar una sola aceptación para varios fines.

Si las categorías de las cookies se engloban dentro de las especiales se han de informar y de aceptar de forma independiente. En el caso de existencia de tratamiento de datos personales se tiene que asegurar que se cumple con la normativa sobre protección de datos personales. Esto ocurre, por ejemplo, cuando el usuario esté identificado por su email, su nombre o un identificador único que permita un seguimiento individualizado.

Cookies exceptuadas del cumplimiento de estas obligaciones

Existen dos tipos de cookies que están exentas del requisito del consentimiento informado, quedando excluidas del ámbito de aplicación del mencionado artículo. Por tanto, no será necesario ni informar ni obtener consentimiento para su uso. Estas cookies son:

  • Las que permiten únicamente la comunicación entre el equipo del usuario y la red.
  • Las que estrictamente prestan un servicio que el usuario ha requerido expresamente.

Por ejemplo:

  • Cookies de “entrada del usuario”.
  • Cookies de autenticación o identificación de usuario (únicamente de sesión).
  • Cookies de seguridad del usuario.
  • Cookies de sesión de reproductor multimedia.
  • Cookies de sesión para equilibrar la carga.
  • Cookies de personalización de la interfaz de usuario.
  • Determinadas cookies de complemento para intercambiar contenidos sociales.

Pese a estar exentas del deber de informar, por motivos de transparencia, se recomienda hacerlo, aunque sea de forma genérica.

Más información sobre cookies

Existen las denominadas cookies polivalentes. Son aquellas que tienen más de una finalidad. Lo recomendable es evitarlas. De hecho, se incita a usar cookies diferentes para cada finalidad.

Se pueden utilizar cookies a partir del momento que el usuario dispone de la información preceptiva, la forma de obtener el consentimiento y el mismo se preste de acuerdo con los procedimientos señalado.

En todo caso, con las cookies, se deben de utilizar tecnologías neutrales reconocidas por la mayoría de los navegadores.

La Agencia Española de Protección de Datos considera una buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 2 años. Conservando durante este plazo la selección realizada por el usuario, sin tener que solicitarle de nuevo cada vez que visite la página en cuestión.

Categorización de cookies

Podemos agrupar según diferentes criterios las cookies que utilizamos.

Según quien las gestione pueden ser propias o de terceros.

Según su finalidad pueden ser técnicas, de preferencias o personalización, de análisis o medición, y por último de publicidad comportamental.

Las dos primeras están exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2. En el caso de las personalizadas siempre que sea el propio usuario quien hace uso expresamente de dicha personalización.

En el caso de las de análisis o medición no están exentas del cumplimiento de la norma, aunque se entiende que es poco probable que representen un riesgo para la privacidad de los usuarios.

Según la duración de la cookie podemos hablar de cookies de sesión, que recaba información, por ejemplo, mientras el usuario navega por una web o de cookies persistentes, que se almacenan por un periodo más largo, de minutos a años. La recomendación en estos casos es la de reducir al mínimo necesario la duración temporal de acuerdo a la finalidad del uso. En el caso de pertenecer al grupo de las cookies exentas, para que no pierdan esta característica, la caducidad tiene que estar relacionada con su finalidad.

Los editores podrán categorizar las cookies como mejor consideren siempre que respeten el principio de transparencia con los usuarios.

Menores de 14 años

Se tendrá que tener cuidado cuando el usuario sea un menor de 14 años. En estos casos es obligación del responsable del tratamiento de hacer esfuerzos razonables para verificar que el consentimiento para el tratamiento de datos personales fue dado por el titular de la patria potestad o tutela del menor.

Cabe destacar que cuanto menor sea el riesgo, más sencillo podrá ser el sistema de verificación que se use para confirmar que el consentimiento ha sido proporcionado por la persona adecuada.

Guía sobre el uso de las cookies

Desde este link puedes descargar la Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos.