Este mes la Agencia Española de Protección de Datos ha publicado una nueva Guía sobre el uso de cookies en colaboración con AUTOCONTROL, Adigital, IAB Spain y la AEA. Este documento recoge un conjunto de recomendaciones para que las empresas adapten sus políticas a la LSSI, en base al RGPD y la LOPDGDD.
La guía contempla las cookies que son utilizadas para elaborar perfiles e identificar a los internautas en su navegación y deja fuera de su ámbito de aplicación y del artículo 22.2 de la LSSI, entre otras, a aquellas que únicamente permiten la comunicación entre el equipo del usuario y la red, además de las que tienen el objetivo de prestar un servicio expresamente solicitado por el interesado. En este sentido, la utilización de este tipo de cookies no requerirá informar ni obtener el consentimiento para su uso. Sobre estas se recomienda informar con carácter genérico (Por ejemplo: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”). También se hace una especial mención a las de análisis o medición que no supondrán un riesgo, siempre que traten los datos con una finalidad estadística.
¿Cómo se debe transmitir y mostrar la información?
La información será concisa, transparente y comprensible, con un lenguaje claro y sencillo y debe estar accesible en todo momento, mostrada de manera recomendable a través del conocido como sistema de información por capas.
La primera capa deberá informar de:
- La identidad del editor responsable de la página;
- Las finalidades de las cookies utilizadas;
- El uso de cookies propias y/o de terceros;
- Los tipos de datos recabados en caso de elaboración de perfiles;
- La forma en la que se puede configurar y rechazar la utilización de cookies, mediante un sistema de configuración que permita al usuario gestionar la aceptación de cookies de forma diferenciada, atendiendo a cada una de las finalidades, y dentro de éstas también se podrán establecer en función del tercero que las utiliza. Con el objetivo de habilitar esta selección granular en lugar de a través de una selección individual “cookie a cookie”, se podrán implementar dos botones: uno para aceptar todas las cookies y otro para rechazarlas en su conjunto. Si se utiliza el modelo de aceptación a través de la navegación (“seguir navegando”), se tendrá que incluir un botón para rechazarlas, facilitando que la retirada del consentimiento sea igual de sencilla que su aceptación. Para que esta opción se pueda considerar como una aceptación expresa al uso de cookies, el aviso se tendrá que mostrar en un apartado visible que asegure su correcta visualización. Este tipo de consentimiento se otorgará a través de una acción claramente afirmativa como por ejemplo navegar en una sección diferente del sitio web (que no sea la segunda capa informativa sobre las políticas de cookies o de privacidad);
- Un enlace a la segunda capa de información que también se podrá utilizar como acceso al panel de configuración de cookies;
¿Cómo configurar la política de cookies de tu web?
La política de cookies deberá incluir la siguiente información:
- Definición y función genérica (¿qué son?);
- Tipologías utilizadas y su finalidad (de análisis o publicitarias);
- Cuando no sea posible aportar suficiente información sobre las cookies usadas por terceros o la forma de eliminarlas se podrá facilitar a través de un enlace a su web;
- Si son tratadas únicamente por el editor de la página o también por terceros). Esta información también podrá mostrarse mediante botones o textos emergentes, siempre que sean accesibles;
- Cómo se acepta, deniega o revoca el consentimiento, así como la forma de eliminar las cookies utilizadas. Si el tipo de configuración no permite evitar el uso de cookies de terceros una vez que han sido aceptadas, se deberá advertir de esta situación y, si el usuario desea eliminarlas después, tendrá que hacerlo desde el propio navegador o con el sistema que ese tercero haya habilitado;
- Las transferencias internacionales de datos realizadas, indicando el artículo del Reglamento que permite las mismas, los terceros países a los que se destinarán los datos, así como las decisiones de adecuación, garantías adecuadas y normas corporativas vinculantes que permitan la transferencia;
- Cuando los datos recabados se utilicen para elaborar perfiles, será necesario informar sobre la lógica aplicada, así como las consecuencias para el interesado;
- Información sobre el periodo de conservación de los datos recabados;
Para otras informaciones contempladas en el Reglamento, se permite realizar remisiones a la política de privacidad.
En cuanto a la diferenciación de cookies deberán agruparse por finalidad o por el tercer destinatario que las utiliza, evitando una selección individual para cada una de ellas.
¿Cómo obtener el consentimiento?
El consentimiento tendrá que ser expreso, tal y como señala la reciente sentencia del TJUE en la que se especifica que “para proteger al usuario que navega en Internet de aplicaciones o identificadores ocultos que registren su actividad y/o datos personales sin su consentimiento, éste debe ser libre específico, informado e inequívoco, y ha de manifestarse mediante una clara acción afirmativa que marque su aceptación del tratamiento de datos personales que le conciernen”. En este sentido, la implementación de cookies no será adecuada si el aviso incluye una casilla premarcada por defecto que el usuario tendría que desmarcar en el caso de no querer dar su consentimiento.
Siguiendo esta misma línea, la Guía elaborada por la AEPD, además de en la información por capas contempla otras modalidades a través de las cuales se puede obtener dicho consentimiento como las siguientes:
- Al solicitar el alta de un servicio;
- Durante el proceso de configuración del funcionamiento de la web o App;
- A través de plataformas de gestión de consentimiento;
- De manera previa a la descarga del servicio ofrecido en la página;
- Con mecanismos de configuración del navegador.
En lo referente a la actualización del consentimiento, se recomienda que su validez no tenga una duración superior a 24 meses (periodo durante el que se conservará la selección que el usuario haya especificado en la aceptación de cookies).
Cuando se trate de páginas web dirigidas a menores de 14 años, será necesario adoptar medidas adicionales dirigidas a garantizar que el consentimiento sea prestado por los titulares de la patria potestad o tutela.
¿Quién es el responsable de su utilización?
Anunciantes, editores, agencias, redes publicitarias y otros agentes intervinientes serán responsables del tratamiento cuando utilicen cookies propias o, en el caso de que pertenezcan a terceros, si han colaborado para determinar los fines y medios del tratamiento. Cada responsable responderá del tratamiento concreto que realice.