A partir de la modificación del artículo 22 de la LSSI (abril 2012) el prestador de un servicio mediante el uso de un dominio web (o ‘editor de dominio’) en España que hace uso de cookies, debe:
1º, insertar en el menú de la página web un apartado sobre su ‘Política de cookies’
2º, avisar en modo claro al usuario al acceder en la página sobre el uso de las cookies.
El contenido de dichas obligaciones se ha visto modificado por la publicación de la última versión (julio 2020) de la ‘Guía sobre el uso de las cookies’ de la Agencia Española de Protección de Datos. Dicha guía incorpora en el entorno español las nuevas directrices sobre consentimiento (https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf) para el tratamiento de los datos personales, adoptadas por el Comité Europeo de Protección de Datos.
A modo de resumen, las principales novedades introducidas por la versión de julio 2020 de la Guía de la AEPD sobre el uso de las cookies, son:
- La mera opción de seguir navegando o hacer scroll en una determinada página web no podrá ser considerada un consentimiento válido a la instalación de las cookies, al no ser una clara acción afirmativa a los efectos previstos en el RGPD.
- Las cláusulas generales de información de cookies podrán permitir al usuario optar entre su aceptación y su configuración. En caso de marcarse la opción de “configurar cookies” no será posible la instalación de estas en tanto el usuario no haya concluido la configuración.
- Los paneles de configuración de las cookies deberán garantizar que existe un consentimiento real del usuario. Por este motivo:
- Deberán establecer en todo caso la opción de que el interesado rechace todas las cookies, como ya se indicaba en la versión anterior de la Guía.
- Deberán configurarse para que por defecto NO se instalen las cookies.
- El usuario deberá tener siempre la posibilidad de guardar su configuración, que habrá de ser respetada en los futuros accesos.
- Si el usuario guarda su configuración sin haber seleccionado ninguna cookie deberán considerarse rechazadas todas ellas.
- Cuando pretenda llevarse a cabo un perfilado del usuario en virtud de la información recabada a través de una cookie que pueda afectar a categorías especiales de datos, será necesario incluir una cláusula adicional con una casilla específica que deberá ser marcada por el interesado. Si no se marca esa casilla no será posible el perfilado sobre esos datos, aun cuando se hubieran aceptado las cookies con carácter general.
- Sólo será posible la utilización de “muros de cookies” (que impiden el acceso a un servicio en caso de no aceptarse las cookies) si se informa adecuadamente al respecto al usuario y se le ofrece una alternativa de acceso al servicio sin aceptar la instalación de cookies. Ese servicio alternativo, que deberá prestarse en términos “genuinamente equivalentes”, no podrá ofrecerse por una entidad distinta del editor.
1º, insertar en el menú de la página web un apartado sobre su ‘Política de cookies’:
Para terminar, confeccionar dicho documento y colgarlo en el sitio, el prestador del servicio del dominio (en la práctica, el web máster) debe revisar o cumplimentar en su caso la columna de ‘Finalidad’ en la tabla de cookies usadas por la página (final del documento). Los posibles valores sobre Finalidad de cookies son ‘Técnicas’, ‘Preferencias o personalización’ o ‘Análisis o medición’ y de ‘Publicidad comportamental’:
a) Cookies Técnicas: son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, gestionar el pago, controlar el fraude vinculado a la seguridad del servicio, realizar la solicitud de inscripción o participación en un evento, contar visitas a efectos de la facturación de licencias del software con el que funciona el servicio (sitio web, plataforma o aplicación), utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de vídeos o sonido, habilitar contenidos dinámicos (por ejemplo, animación de carga de un texto o imagen) o compartir contenidos a través de redes sociales. También pertenecen a esta categoría, por su naturaleza técnica, aquellas cookies que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, como un elemento más de diseño o “maquetación” del servicio ofrecido al usuario, el editor haya incluido en una página web, aplicación o plataforma en base a criterios como el contenido editado, sin que se recopile información de los usuarios con fines distintos, como puede ser personalizar ese contenido publicitario u otros contenidos.
Las cookies técnicas estarán exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI (es decir, obtención de consentimiento para su instalación y uso mediante la existencia de banner de aviso, política de cookies) cuando permitan prestar el servicio solicitado por el usuario, como ocurre en el caso de las cookies enumeradas anteriormente. Sin embargo, si estas cookies se utilizan también para finalidades no exentas (por ejemplo, para fines publicitarios comportamentales), quedarán sujetas a dichas obligaciones.
b) Cookies de preferencias o personalización: son aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio, etc. Si es el propio usuario quien elige esas características (por ejemplo, si selecciona el idioma de un sitio web clicando en el icono de la bandera del país correspondiente), las cookies estarán exceptuadas de las obligaciones del artículo 22.2 de la LSSI por considerarse un servicio expresamente solicitado por el usuario, y ello siempre y cuando las cookies obedezcan exclusivamente a la finalidad seleccionada.
c) Cookies de análisis o medición: son aquellas que permiten al responsable de estas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.
d) Cookies de publicidad comportamental: son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función de este.
También se recomienda chequear el dato de ‘expiración’ de las cookies, información que los consultores de DGE COMPLIANCE han definido según propiedades de cookies vistas en el sitio.
EN EL CASO DE QUE LA PÁGINA WEB DISPONE DE UN GESTOR GRANULAR DE COOKIES EN EL CUAL HAY UNA PRESENTACIÓN COMPLETA DE LAS COOKIES EMPLEADAS (no siendo necesaria la presentación de las cookies una por una sino por categoría/finalidad y su editor) SE PODRÍA DESPRENDER DEL APARTADO DE ‘Relación y descripción de cookies’ que se encuentra al final del apartado de ‘Política de cookies’.
2º, avisar en modo claro al usuario al acceder en la página sobre el uso de las cookies:
Muy importante sobre la política de cookies:
Según modificación de la LSSI (Abril 2012) el usuario debe dar su consentimiento con la política de cookies usada por el sitio, por ello en el momento que un usuario accede en nuestra página debe recibir un mensaje de aviso sobre la política de cookies (suele ser un pop up, banner fijo en la cabecera, etc.) a través del cual se informa al usuario que nuestro sitio usa cookies y le damos la opción mediante link a consultar nuestra política de cookies.
Cabe destacar en este punto que conforme a la última versión de la ‘Guía sobre el uso de las cookies’ de la AEPD, ‘la mera opción de seguir navegando o hacer scroll en una determinada página web no podrá ser considerada un consentimiento válido a la instalación de las cookies, al no ser una clara acción afirmativa a los efectos previstos en el RGPD’.
Esta información se facilitará antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.
Será necesario que la información de la primera capa se complete con un sistema o panel de configuración en el que el usuario pueda optar entre aceptar o no las cookies de forma granular (módulos de gestión de cookies), o un enlace que conduzca a dicho sistema o panel.
El grado de granularidad en el panel a la hora de mostrar la selección de cookies deberá valorarlo el editor del sitio web. Si bien es aconsejable que se tengan en cuenta las siguientes reglas:
- Como mínimo, deberían agruparse las cookies por su finalidad (por ejemplo, el usuario podría elegir aceptar las cookies analíticas y no así las publicitarias comportamentales).
- En relación con las cookies de terceros es suficiente con identificarlos por su nombre o por la marca con la que se identifican de cara al público, sin incluir la denominación social completa.
- Debe evitarse el grado máximo de granularidad (selección cookie a cookie), ya que el exceso de información dificulta la toma de decisiones.