fbpx

Uso de Cookies: Lo que necesitas saber para adaptarte a la nueva normativa

 

Las cookies digitales (también conocidas como «de ordenador» o «de seguimiento») son archivos de texto, generalmente encriptados, que se ubican en los directorios del navegador por órdenes del servidor.

Oímos hablar mucho de ellas e incluso hablamos nosotros mismos, pero ¿sabemos qué son realmente y las aceptamos conscientemente? ¿Sabemos qué información recogen y para qué se utilizan?.

Hoy queremos indagar un poco más en este tema y explicarte bien en qué consisten, qué tipos de cookies hay y cómo se van a tener que gestionar a partir del pasado 31 de octubre de este año teniendo en cuenta la nueva Guía sobre el uso de las cookies publicada por la Agencia Española de Protección de Datos (AEPD) en base a las directrices marcadas por el Comité Europeo de Protección de Datos (CEPD).

Qué son las cookies

Como explica la Agencia Española de Protección de Datos (AEPD), las cookies son herramientas que tienen un papel esencial para la prestación de numerosos servicios de la sociedad de la información que concentran la mayor inversión publicitaria, facilitan la navegación del usuario y ofrecen una publicidad basada en ocasiones en los hábitos de navegación.

Se utilizan para permitir a los usuarios navegar con más facilidad y desarrollar ciertas funciones y procesos en los sitios web. Estos textos encriptados se crean cuando el navegador de un usuario carga una página concreta. Esta página envía información al navegador y se genera el archivo de texto. Cada vez que el usuario regresa a la misma página, el navegador rescata este archivo y lo envía al servidor de la página. También aparecen en una misma página las de otras webs (cookies de terceros) que ofrecen anuncios en la URL que el usuario visita.

Qué tipos de cookies hay:

Según el dominio desde donde se envían

Según quién gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos diferenciar entre dos tipos de cookies:

COOKIES PROPIAS

Son aquellas que se envían al equipo del usuario desde un equipo o dominio gestionado por la propia página web que estamos visitando y desde la que se presta el servicio solicitado por el usuario. Generalmente se utilizan para mejorar la experiencia del usuario al entrar en una página.

Como ejemplo, tenemos las de inicio de sesión (que permiten, por ejemplo, recordar el nombre de usuario para facilitar el inicio de sesión), las de personalización (para recordar que hemos interactuado con X para que la propia web nos muestre contenido relevante en base a esa información) o las de preferencias (que recopilan precisamente las preferencias del usuario, como por ejemplo, el idioma o la forma en la que ve un determinado contenido).

COOKIES DE TERCEROS

Son aquellas que se envían al equipo del usuario desde un equipo o dominio que no es gestionado por la propia página web, sino por otra entidad que trata los datos obtenidos través de las cookies. Pueden ser muy variadas y con diferentes finalidades: recopilar datos estadísticos, de uso, de gustos de los usuarios, etc. Como ejemplo, tenemos las de redes sociales como Facebook o las de analítica como Google Analytics.

En ambos casos recopilan información sobre la navegación de los usuarios. Hay que tener en cuenta que esta información no se analiza por usuario, sino por navegación. Es decir, si entramos desde Google Chrome a una página web y aceptamos sus cookies, esta configuración no se mantendrá posteriormente si accedemos desde Mozilla Firefox.

Según su finalidad

Según su finalidad, podemos diferenciar entre

COOKIES TÉCNICAS

Son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión o compartir contenidos a través de redes sociales, entre muchas otras.

También pertenecen a esta categoría, por su naturaleza técnica, aquellas cookies que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, como un elemento más de diseño o “maquetación” del servicio ofrecido al usuario, el editor haya incluido en una página web, aplicación o plataforma en base a criterios como el contenido editado, sin que se recopile información de los usuarios con fines distintos, como puede ser personalizar ese contenido publicitario u otros contenidos.

COOKIES DE PREFERENCIAS O PERSONALIZACIÓN

Son aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio, etc.

Si es el propio usuario quien elige esas características (por ejemplo, si selecciona el idioma de un sitio web clicando en el icono de la bandera del país correspondiente), las cookies estarán exceptuadas de las obligaciones del artículo 22.2 de la LSSI por considerarse un servicio expresamente solicitado por el usuario, y ello siempre y cuando las cookies obedezcan exclusivamente a la finalidad seleccionada.

COOKIES DE ANÁLISIS O MEDICIÓN

Son aquellas que permiten el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

COOKIES DE PUBLICIDAD COMPORTAMENTAL

Son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

En todo caso, debe tenerse en cuenta que estas tipologías se ofrecen a título orientativo por ser las más habituales. Los editores y los terceros podrán realizar las categorizaciones que consideren que mejor se ajustan a las finalidades de las cookies que utilizan, de forma que se respete el principio de transparencia frente a los usuarios.

Cambio de legislación: ¿qué cambia?

La Agencia Española de Protección de Datos (AEPD) ha actualizado la Guía sobre el uso de las cookies para adaptarla a las Directrices sobre consentimiento modificadas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD). A continuación el resumen de los cambios más destacables que ha compartido la AEPD:

El Comité Europeo de Protección de Datos ha revisado en mayo de 2020 las Directrices 05/2020 sobre consentimiento con el fin de aclarar su posición en relación con dos cuestiones: (1) la validez de la opción “seguir navegando” como forma de prestar el consentimiento por parte de los usuarios y (2) la posibilidad de utilizar los conocidos como “muros de cookies, es decir, de limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de cookies.

En relación con el primero de estos puntos, el Comité considera que la opción de “seguir navegando” no constituye en ninguna circunstancia una forma válida de prestar el consentimiento, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario, por lo que no sería posible entender que el consentimiento es inequívoco.

El sistema de gestión de las cookies debe estar integrado en la propia política de cookies o cuando se incluya en esta política un enlace que lleve directamente al sistema de gestión. En el caso de que no fuera posible ofrecer una explicación suficiente, por ejemplo, sobre la finalidad de las cookies utilizadas por terceros o la forma de eliminarlas, puede facilitar esta información incluyendo un enlace a la página web del tercero.

Respecto a los “muros de cookies”, el Comité ha precisado que, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies. 

Ejemplos de cómo mostrar el aviso de cookies

En la propia Guía sobre el uso de las cookies de la AEPD, se incluyen varios ejemplos. A continuación, como muestra, podemos ver 3 ejemplos que explican visualmente cómo podríamos plantear la primera capa (el primer mensaje) que visualizará el usuario. Es el mensaje más relevante y cada empresa deberá valorar cómo mostrarlo y cómo permitir el acceso la información adicional y la posibilidad de configurarlas como considere.

Cómo afectará al usuario este cambio en la forma de aceptar las cookies

Al acceder a una página web, el usuario tendrá que ver un mensaje en un formato visible y entendible para el usuario que se mantenga hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo. Esta información debe mostrarse antes de inyectar las cookies, ya que deberá realizarse en función de la voluntad expresada por el usuario al respecto.

Como hemos comentado, será necesario que el usuario realice una acción que pueda calificarse como una clara acción afirmativa para que el consentimiento se considere válidamente otorgado. La obtención del consentimiento mediante una conducta de los usuarios distinta de un botón de aceptación, pero que consista en una clara acción afirmativa, será admisible siempre que las condiciones en que se produzca la conducta ofrezcan suficiente certeza de que se presta un consentimiento informado e inequívoco y pueda probarse que dicha conducta se ha realizado.

En cualquier caso, el mero hecho de permanecer visualizando la pantalla, hacer scroll o navegar por el sitio web no se considerará una clara acción afirmativa bajo ninguna circunstancia. El CEPD ha establecido que seguir navegando no es una forma válida de prestar el consentimiento. Del mismo modo, la consulta de la segunda capa informativa si la información se presenta por capas, así como la navegación necesaria para que el usuario gestione sus preferencias en relación con las cookies no es una conducta activa de la que pueda derivarse la aceptación de cookies.

Será necesario que la información de la primera capa (banner informativo) se complete con un sistema o panel de configuración en el que el usuario pueda optar entre aceptar o no las cookies de forma granular, o un enlace que conduzca a dicho sistema o panel.

Para que dicho consentimiento sea válido será necesario que el consentimiento haya sido otorgado de forma libre e informada. Por tanto, es necesario tener en cuenta:

a) Que las modalidades de prestación del consentimiento pueden ser variadas.
b) Que el usuario deberá haber realizado una clara acción afirmativa.
c) Que tiene que ser evidente para el usuario con qué concreta acción suya acepta la utilización de las cookies. En este sentido, el uso de un botón del tipo “Aceptar” se considerará información suficiente, sin necesidad de aclarar que pulsando “Aceptar” se aceptan las cookies. En cambio, acciones complejas o menos obvias que el uso de botones de aceptación o guardado de la configuración escogida deberán explicarse al usuario.
d) Que el usuario, en todo caso, podrá negarse a aceptar las cookies.
e) Que la información que se otorgue al usuario para que pueda consentir la utilización de las cookies se encuentre separada de la información que se le ofrezca sobre otros asuntos.
f) Que la aceptación de los términos o condiciones de uso de la página web o servicio se separe de la aceptación de la política de privacidad o cookies.
g) Que, aunque las cookies no suelen utilizarse en escenarios en los que el RGPD exige el consentimiento explícito de los interesados, cuando este consentimiento explícito sea necesario (p.ej. datos sensibles, de salud…artículos 9.2 a), 22.2 c) y 49.1 a) del RGPD), el consentimiento solo podrá obtenerse mediante botones de aceptación, siempre que incluya una leyenda específica con el término “consiento” y se facilite información completa sobre las categorías especiales de datos respecto de las que se consienten, las decisiones individuales automatizadas o las transferencias a terceros países, según el caso .

Además, la política de cookies deberá incluir siempre la siguiente información:

a) Definición y función genérica de las cookies
b) Información sobre el tipo de cookies que se utilizan y su finalidad.
c) Identificación de quién utiliza las cookies,
d) Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies
e) En su caso, información sobre las transferencias de datos a terceros países realizadas por el editor.
f) Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar, será necesario que se informe sobre la lógica utilizada.
g) Periodo de conservación de los datos para los diferentes fines
h) En relación con el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de protección de datos.

Cuándo y cómo se debe implementar este cambio

Estos nuevos criterios deben de estar implantados ya, desde el pasado 31 de octubre de 2020permitiendo un periodo transitorio de tres meses desde que se comunicó para introducir los cambios necesarios en los mecanismos de obtención del consentimiento para el uso de cookies que se estén utilizando.

Las empresas podrán optar por trabajar estos cambios como un desarrollo propio o con una plataforma de gestión del consentimiento (CMP – Consent Management Platform).

Una plataforma CMP es una herramienta que se instala en el soporte del editor, página web o aplicación, y permite que cualquier responsable de la utilización de cookies cumpla sus deberes de información y recogida de consentimiento.

Para que una CMP sea válida es necesario que permita a las entidades que la utilizan, tanto editores como otros agentes, cumplir los requisitos que establece la normativa en los términos que se establecen en esta guía. Algunas de las plataformas CMP más conocidas son OneTrustCookiefirst o Cookiebot.