social media 1989152 640

Novedades en la normativa de Cookies

Novedades de la guía de cookies publicada por la AEPD

Recientemente al AEPD ha publicado la nueva guía de cookies que sustituye a la anterior y que pretende cumplir, ahora sí, con las prescripciones que sobre esta materia se establecen en el ámbito europeo.

En palabras de la propia AEPD… Las soluciones propuestas en la presente guía pretenden ofrecer orientaciones sobre cómo cumplir las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSI), en relación con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (en adelante, LOPDGDD). En cualquier caso, es necesario destacar el carácter de norma especial de la regulación establecida en la LSSI.

No obstante, añade la AEPD que …“Dadas las múltiples complejidades que plantea el uso de las cookies, las orientaciones aquí recogidas no pretenden ofrecer una solución general y uniforme para el cumplimiento de la ley, sino que deben servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio…”.

Esta guía de cookies se divide en cuatro grandes apartados: alcance de las normas, terminología y definiciones, obligaciones y responsabilidad de las partes en la utilización de las cookies, veamos cada una de ellas.

Alcance de las normas

Bajo este epígrafe en la guía de la AEPD se explica la conexión entre el artículo 22 de la LSSI y la normativa en materia de protección de datos. Por tanto, las recomendaciones incluidas en esta guía se refieren a la utilización de cookies y tecnologías similares utilizadas para almacenar y recuperar datos de un terminal de una persona que utilice los llamados servicios de la sociedad de la información, incluidos las llamadas técnicas de de fingerprinting o toma de huella digital del dispositivo. Esto último tiene mucho sentido por cuanto los dispositivos actuales, tanto smartphones como tablets traen la opción de desbloqueo del dispositivo mediante la huella y reconocimiento facial.

La guía, sus recomendaciones y novedades vienen vinculadas a la necesidad de la obtención del consentimiento y la obtención del consentimiento viene determinado por la información que se muestra/proporciona al usuario del servicio de la sociedad de la información; por tanto, esta normativa se aplica a las cookies que “traten datos” de los usuarios. Por el contrario, la AEPD considera que quedan exceptuadas del cumplimiento de las obligaciones el artículo 22.2 LSSI las cookies empleadas para alguna de las siguientes finalidades:

  • Permitir únicamente la comunicación entre el equipo del usuario y la red.
  • Estrictamente prestar un servicio expresamente solicitado por el usuario.
  • Cookies de entrada del usuario.
  • Cookies de autenticación o identificación de usuario (únicamente de sesión)
  • Cookies de seguridad del usuario.
  • Cookies de sesión de reproductor multimedia.
  • Cookies de sesión para equilibrar la carga.
  • Cookies de personalización de la interfaz de usuario.
  • Determinadas cookies de complemento (plug-in) para intercambiar contenidos sociales.

Terminología y definiciones

En este apartado de la guía no se introduce ningún tipo de novedad respecto de lo que ya se conocía y había sido publicado. Básicamente en esta sección se explica los conceptos de:

  1. los tipos de cookies atendiendo a los siguientes criterios:
    1. Según quien las gestione: las cookies serán propias o de tercero.
    1. Según su finalidad: las cookies serán técnicas, de personalización, de análisis o de publicidad comportamental.
    1. Según su duración: las cookies serán de sesión o persistentes.
  2. Dato
  3. Equipo terminal
  4. Servicio de sociedad de la información
  5. Página web
  6. Espacio publicitario
  7. Inventario publicitario
  8. Partes intervinientes

Obligaciones: El consentimiento

Esta tercera parte de la guía es en donde se analizan, como el título anuncia, las obligaciones de los responsables del tratamiento de datos de carácter personal. En esencia lo importante es que el usuario tenga un conocimiento real y suficiente de las técnicas (cookies) empleadas para “mejorar la experiencia de uso” y “analizar” sus hábitos de navegación en una determinada página web.

La LSSI establece que el responsable del tratamiento de datos tendrá que proporcionar al usuario información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la normativa de protección de Datos (LOPDGDD y RGPD).

De esto se deduce que la información proporcionada al usuario tiene que ser completa y además comprensible, en caso contrario el consentimiento estará viciado.

La válida obtención del consentimiento

Más allá de lo que ya conocemos en relación con la información que debe tener a su disposición el usuario para que pueda prestar válidamente consentimiento, lo relevante o novedad de esta guía es que se dice claramente que la tradicional expresión incluida en los banners de “…si sigue navegando se entenderá que acepta la instalación y uso de nuestras cookies…” ya no es válida; de hecho, esta es la razón de la actualización de esta guía de cookies por parte de la AEPD, adaptarse a lo que se dice desde Europa.

De manera sistemática la AEPD nos recomienda para que el consentimiento de nuestros usuarios sea válido que:

  • El usuario deberá haber realizado una clara acción afirmativa (checkbox sin marcar).
  • Tiene que ser evidente para el usuario con qué concreta acción suya acepta la utilización de las cookies.
  • El usuario, en todo caso, podrá negarse a aceptar las cookies y seguir usando el servicio, no se admiten los llamados “muros de cookies”.
  • La información relacionada con las cookies se tiene que mostrar de manera separada de otros documentos.
  • La aceptación de los términos y condiciones de la web se separe de la aceptación de las cookies.

Para cumplir estos dos requisitos en la guía que estamos analizando se diferencia entre el contenido que tiene que incluirse en las políticas de cookies y entre como tiene que “escribirse” esa política de cookies para que el usuario entienda las implicaciones de apretar el botón “sí, acepto”.

En cuanto a la información que tiene que incluirse en las políticas de cookies la AEPD menciona:

  1. Definición y función genérica de las cookies
  2. Información sobre el tipo de cookies que se utilizan
  3. Identificación de quien utiliza las cookies
  4. Información sobre la forma de aceptar o revocar el consentimiento relacionado con el uso de las cookies
  5. Información sobre la transferencia de datos (en su caso)
  6. Elaboración de perfiles (en su caso)
  7. Periodo de conservación de los datos

Respecto a cómo se tiene que exponer esta información la AEPD remitiéndose al Dictamen 15/2011 del GT29 dice que la información “debe resultar comprensible al integrante medio de la audiencia objetivo.” …, es decir, se recomienda el uso de un lenguaje claro y sencillo.

Cuando solicitar y obtener el consentimiento

Se explica por la AEPD que este consentimiento se puede obtener:

  • Al solicitar el alta en un servicio
  • Durante el proceso de configuración de una web o APP
  • A través de plataformas de gestión del consentimiento
  • Antes de la descarga de un servicio o aplicación
  • A través de la información por capas (banner)
  • A través de la configuración del navegador

Nuestra experiencia nos dice que el método más empleado es el de obtener el consentimiento a través del famoso banner que nos aparece al acceder al servicio. Este banner se podría entender como la primera capa.

Por tanto, este banner tiene que informar adecuadamente de las cookies que usa el servicio, la finalidad de estas y dar la opción al usuario de aceptarlas o rechazarlas. El usuario por medio de una clara acción tendrá que manifestar su consentimiento o no consentimiento a la instalación de las cookies.

Este banner tendrá un enlace a la política de cookies en donde se explicará en detalle las cookies empleadas, tipo, finalidades y como deshabilitarlas, esta política de cookies es lo que se conoce como la segunda capa.

En todo caso no se pueden instalar las cookies antes de que el usuario haya manifestado su voluntad, ya sea prestando el consentimiento o denegándolo.

Conclusión

Esta guía tiene un claro contenido práctico que te permite realizar una política de cookies cumpliendo los elementos esenciales exigibles por la legislación aplicable y que trae dos novedades fundamentales, ha perdido validez la expresión “…si sigue navegando se entiende que acepta las cookies..” y no se pueden impedir el uso del servicio por el mero hecho de que el usuario no consienta la instalación de las cookies.

Esta guía se encuentra disponible en la página web la AEPD, puedes descargarla pinchado el siguiente enlace: https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf

José Sendín

Abogado

SISTEMIUS

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

PROTECCIÓN DE DATOS: De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: Responsable: FORMAS, SISTEMAS Y SOLUCIONES S.L. Fines del tratamiento: publicar comentarios en las publicaciones. Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición. Más información del tratamiento en la Política de privacidad.

Ir arriba
Abrir chat
¡Hola! ¿Puedo ayudarte?