Blog

DIRECTRICES DE LA NUEVA GUÍA DE COOKIES DE LA AEPD

 

La AEPD ha publicado recientemente una Guía de Cookies que determina las directrices que deben seguir las empresas y profesionales al utilizar las cookies en su web, y dar cumplimiento a la normativa en Protección de Datos.

Esta Guía indica que la notificación a los destinatarios sobre su uso debe incluir una información completa que se facilite en el momento de la solicitud del consentimiento, es decir, todos los usuarios tienen que entender la finalidad que éstas ofrezcan. Además, deben de orientar sobre cómo se podrá realizar su revocación, de manera que puedan encontrar la posibilidad de eliminarlas de forma accesible y permanente a través de la misma web.

Obligación de notificar:

Las empresas tienen la obligación de notificar el uso de cookies a sus destinatarios, tal y como indica el art. 22.2 de la LSSI. La información facilitada en el momento en el que se solicita el consentimiento debe ser completa, de manera que los usuarios entiendan su finalidad, y conozcan qué usos tendrán. Además, la información que indique cómo se podrá revocar el consentimiento y eliminar las cookies debe de estar a disposición del usuario de forma accesible y permanente a través de la misma web.

Exclusiones de obligaciones de transparencia y consentimiento:

Quedan excluidas del cumplimiento de las obligaciones de transparencia y consentimiento, las cookies utilizadas para permitir sólo la comunicación entre el usuario y la red, y las que presten un servicio expresamente solicitado por el usuario.

El GT29, en su Dictamen 4/2012, ha interpretado que entre las cookies exceptuadas se encuentran: Cookies de “entrada al usuario´´,  Cookies de autenticación o identificación del usuario (únicamente de sesión), Cookies de seguridad del usuario (utilizadas para detectar intentos erróneos…), Cookies de sesión para equilibrar la carga, Cookies de personalización de la interfaz de usuario, y determinadas Cookies de complemento (plug-in) para intercambiar contenidos sociales (con la excepción a usuarios que mantengan la sesión abierta).

En el resto de cookies será necesario obtener el consentimiento, siempre que no queden fuera del ámbito del art. 22.2 de la LSSI, aunque se recomienda por transparencia informar por éstas también en la política de cookies o en la política de privacidad.

También, una misma cookie puede tener más de una finalidad (cookies polivalentes), por lo que puede que una cookie quede exceptuada para una finalidad pero no para otra/s, quedando éstas sujetas. El GT29 incita a utilizar cookies distintas para cada finalidad.

Tiene que garantizarse que las cookies sólo se utilicen si se aceptan todas sus finalidades, sino no deberían de utilizarse, salvo que el sistema de gestión permita dar un tratamiento diferenciado a las distintas finalidades.

Categorías de las Cookies

Por otro lado, se distinguen las cookies en categorías, aunque una misma cookie puede estar incluida en más de una categoría.

Primeramente distinguimos: Cookies propias (las que se generan por la propia página web que estamos visitando), y Cookies de tercero (generadas por servicios o proveedores externos a la web).

  • Según su finalidad: Cookies técnicas, Cookies de preferencias o personalización, Cookies de análisis o medición, y Cookies de publicidad comportamental.
  • Según el plazo de tiempo que permanecen activadas: Cookies de sesión, y Cookies persistentes.

En la política de cookies deberá de incluirse:

  • La definición y función genérica de las cookies.
  • La información sobre el tipo de cookies que se utilizan y su finalidad (si no fuera posible para el editor explicar la finalidad de las cookies de terceros o la forma de eliminarlas, se puede incluir un enlace a la web del tercero).
  • La identificación de quién utiliza las cookies (no será necesario que la información concreta sobre los terceros sea visible en la política de cookies, podrán utilizarse botones).
  • La información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies (si el sistema de gestión o configuración de las cookies del editor no permite evitar las cookies de terceros una vez aceptadas, se debe informar acerca de la eliminación, desde su propio navegador o el sistema habilitado por los terceros).
  • En su caso, información sobre las transferencias de datos a terceros países realizadas por el editor, también la elaboración de perfiles que implique la toma de decisiones automatizadas.
  • El período de conservación, para los diferentes fines.
  • Y en relación con el resto de información exigida, que no se refiera al art. 13 del RGPD, de forma específica a las cookies, el editor podrá remitirse a la política de privacidad.

Obligaciones legales:

Las obligaciones legales impuestas son: la de transparencia y la de obtención del consentimiento. (Se recomienda realizar una revisión de las cookies utilizadas, y es recomendable actualizar periódicamente esta revisión).

Requisitos de transparencia de la información: La información o comunicación debe ser concisa, transparente e inteligible (el lenguaje utilizado debe estar adecuado al nivel de conocimientos del usuario medio de la web), se ha de utilizar un lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje, además, esta información debe incluir un fácil acceso, (el usuario no debe buscar la información, y después de prestar consentimiento para el uso, debe seguir siéndolo).

El GT29 recomienda en concreto, el uso de declaraciones o avisos de privacidad por niveles, que contengan la información en capas, que permitan al usuario ir a aquellos aspectos de la declaración o aviso que sean de mayor interés para él, sin perjuicio de la disponibilidad del resto de información.

La Primera capa; con información básica, se facilitará antes del uso de las cookies:

  • Identificación del editor responsable del sitio web (no siendo necesario si sus datos aparecen completos en otras secciones de la web).
  • Identificación de las finalidades de las cookies que se utilizarán.
  • Información sobre si las cookies son propias o de terceros.
  • Información genérica sobre el tipo de datos que se van a recopilar y utilizar en caso de que se elaboren perfiles de los usuarios.
  • Modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies, – Un enlace claramente visible dirigido a una segunda capa informativa en la que se incluya una información más detallada.

La información sobre las cookies de la primera capa se debe completar con un sistema o panel de configuración en el que el usuario pueda optar entre aceptar o no las cookies de forma granular, o un enlace que conduzca a dicho sistema o panel.

La modalidad de “seguir navegando´´, no será válida si además se incluye un mecanismo de aceptación explícita, para que la acción de continuar con la navegación pueda considerarse un consentimiento válido, el aviso deberá insertarse en un lugar claramente visible, de manera que pueda calificarse como una clara afirmativa.

En la segunda capa, que debe encontrarse disponible de forma permanente en el sitio web o en la aplicación, se incluiría la información relativa a la política de cookies.

También existen otras posibilidades de información por capas, como son:

  • El suministro de la información a través de un aviso lo suficiente visible.
  • La solicitud de alta en un servicio, o antes de descargar el servicio o aplicación, podrá suministrarse esta información junto con la política de privacidad, o con los términos y condiciones de uso del servicio, debiendo estar destacada y separada.
  • Será también posible a través de medios convencionales, siempre que quede constancia de que hayan sido informados individualmente, y hayan dado su consentimiento.

En ningún caso la inactividad del usuario implica la prestación del consentimiento. Además, para que sea válido será necesario que el consentimiento haya sido otorgado libremente e informado. La consulta de la segunda capa, no es una conducta activa.

Consentimiento:

Asimismo, el consentimiento debe ser prestado por los destinatarios. Dentro de las modalidades de consentimiento encontramos:

  • La Solicitud del alta en un servicio, (siempre que se encuentre separado, y no se agrupe con la aceptación y condiciones de la web).
  • Durante el proceso de configuración del funcionamiento de la web o aplicación.
  • A través de plataformas de gestión del consentimiento.
  • Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido.
  • A través del formato de información por capas, y a través de la configuración del navegador.

Se admite la opción de “seguir navegando” como fórmula válida para obtener el consentimiento inequívoco de los usuarios en algunos casos, pudiendo ser más apropiada para usuarios registrados. No será válida en los casos en los que a través de las cookies se realicen tratamientos que requieran un consentimiento explícito.

Se deberá incluir un botón de “acepto” en el banner de cookies en aquellos casos en los que se traten categorías especiales de datos personales, se tomen decisiones individuales automatizadas con efectos jurídicos en los usuarios, o se realicen transferencias internacionales de datos cuya base de legitimación sea el consentimiento.

En el consentimiento de menores son necesarias medidas adicionales. En estos casos, el responsable hará esfuerzos razonables para verificar que el consentimiento ha sido dado por el padre o tutor, de acuerdo con la tecnología disponible y las circunstancias del tratamiento, atendiendo al nivel de riesgo asociado a la utilización de cookies, y al principio de minimización.

Como regla general, siempre que un consentimiento haya sido obtenido de forma válida, no será  necesario obtenerlo nuevamente al visitar la misma web, (sólo si las condiciones cambian después de haber obtenido el consentimiento). El GT29, recomienda la renovación del consentimiento a intervalos apropiados, no teniendo la validez del consentimiento una duración superior a 24 meses. Asimismo, los usuarios deberán poder retirar su consentimiento en cualquier momento. El editor deberá  facilitar la información a los usuarios en su política de cookies sobre cómo pueden retirarlo.

Además, existen supuestos en los que la no aceptación de la utilización de cookies impide la utilización total o parcial del servicio, sin que pueda denegarse en caso de rechazo de cookies, en los casos en los que se impida un derecho legalmente reconocido al usuario.

Responsabilidad:

La LSSI no define quién es el responsable de cumplir con la obligación de informar sobre las cookies y obtener el consentimiento, siendo necesario que los sujetos participantes en su utilización colaboren en el cumplimiento de las exigencias legales, tanto el editor como los terceros que gestionan las cookies como responsables del tratamiento se coordinarán para el cumplimiento de estas tareas.

No obstante, si un editor utiliza una plataforma de gestión de consentimientos (CMP), que permite a dichos terceros informar directamente a los usuarios y registrar los consentimientos, entonces los terceros serán individualmente responsables de informar y obtener el consentimiento.

No se puede transferir la responsabilidad del responsable al encargado, aunque se pueden exigir garantías y obligaciones contractuales para obligar al encargado a indemnizar al responsable del tratamiento por las sanciones, daños y perjuicios o medidas cautelares que se deriven de un uso indebido de dichas cookies.

Si tiene cualquier duda, o necesita asesoramiento sobre como implementar una Política de Cookies correcta en su web, pongase en contacto con nosotros.