La AEPD publica la nueva Guía sobre el uso de las Cookies

Actualidad

14 noviembre, 2019

El pasado viernes 8 de noviembre de 2019 se celebró la presentación por parte de la Agencia Española de Protección de Datos (AEPD) sobre la nueva Guía sobre el uso de las cookies, la cual supone una actualización del documento publicado en el año 2013. Letslaw acudió a la presentación de esta nueva guía.

El evento fue presidido por la directora de la AEPD, Mar España, y contó con las intervenciones de José Domingo Gómez Castallo, director general de AUTOCONTROL, Reyes Justribó Ferrer, directora general de IAB Spain, José Luis Zimmermann, director general de ADIGITAL y Lidia Sanz, directora general de la Asociación Española de Anunciantes (AEA). 

 

Objetivo de la Guía sobre el uso de las cookies 

El objetivo principal de esta Guía sobre el uso de las cookies consiste en ofrecer una serie de orientaciones prácticas sobre cómo cumplir con la obligación establecida en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), en el cual se regula la necesidad de obtener el consentimiento informado de los usuarios previamente a la descarga de tecnología cookie en sus dispositivos

En este sentido, y conforme a la Guía sobre el uso de cookies, “dadas las múltiples complejidades que plantea el uso de las cookies, las orientaciones aquí recogidas no pretenden ofrecer una solución general y uniforme para el cumplimiento de la ley, sino que deben servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio”.

Contenido principal 

  • Ámbito de aplicación 

El documento precisa en primer lugar cuáles son los supuestos en los que resultan de aplicación las obligaciones establecidas en el artículo 22.2 de la LSSI, especificando que la necesidad de obtener el consentimiento previo e informado de los usuarios, se refiere a todo tipo de cookies y tecnologías similares utilizadas para almacenar y recuperar datos. 

En concreto, la Guía especifica que esta obligación podrá resultar de aplicación para tecnologías tales como local shared objects o flash cookies, web beacons o bugs, etc., así como técnicas de fingerprinting, es decir, técnicas de toma de la huella digital. 

A propósito de lo anterior, la Guía recuerda que cuando la instalación y/o utilización de cookies implique el tratamiento de datos personales, los responsables de dicho tratamiento deberán asegurarse del cumplimiento de las exigencias adicionales establecidas por la normativa sobre protección de datos personales, especialmente cuando dicho tratamiento se lleve a cabo respecto a categorías especiales de datos de carácter personal. 

Asimismo, el documento indica que quedan excluidas del deber de obtener el consentimiento informado las siguientes categorías de cookies: (i) Cookies de «entrada del usuario»; (ii) Cookies de autenticación o identificación de usuario (únicamente de sesión); (iii) Cookies de seguridad del usuario; (iv) Cookies de sesión de reproductor multimedia; (v) Cookies de sesión para equilibrar la carga; (vi) Cookies de personalización de la interfaz de usuario; (vii) Determinadas Cookies de complemento (plug-in) para intercambiar contenidos sociales. 

No obstante, la Guía recomienda, por razones de transparencia, informar al menos con carácter genérico, de la utilización de este tipo de cookies técnicas (ejemplo: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”). 

  • Terminología y Definiciones 

El documento establece una definición de todos los elementos y las partes intervinientes o que pueden tener relación con la aplicabilidad de la norma, ofreciendo definiciones de conceptos tales como los diferentes tipos de “cookies” (clasificadas por según su finalidad, según la entidad que las gestione o según el tiempo de permanencia activa), “datos”, “equipo terminal”, “espacio publicitario”, “Inventario publicitario” y “partes intervinientes”.

Respecto a este último grupo de definiciones, resulta especialmente llamativo el esfuerzo llevado a cabo en la redacción de la Guía en este sentido, definiendo todos los posibles agentes intervinientes en la utilización de tecnología cookie, tales como los Data Management Platform, Ad Exchange, AdServers, Demand Side Platform, Supply Side Platform, Ad Networks, o Trading Desks, explicando igualmente cómo funcionan los modelos de subastas de espacios publicitarios mediante la utilización de tecnología cookie a través de técnicas como el retargeting y el cookie matching, o el cookie syncing mediante el ANEXO a la Guía sobre el uso de las cookies denominado “PARTES INTERVINIENTES”. 

  • Obligaciones de transparencia e información 

La Guía sobre el uso de las cookies ofrece una serie de pautas orientativas sobre cómo llevar a cabo las obligaciones de transparencia y la obtención del consentimiento informado, basándose en las recomendaciones del Grupo de Trabajo del Artículo 29 (GT29) en sus directrices sobre transparencia, sobre todo en relación con cómo revocar el consentimiento y eliminar las cookies. 

En este sentido, se recuerda que la información en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender la finalidad para la que se instalan y conocer los usos que se les darán, pero al mismo tiempo debe ofrecerse dicha información de forma concisa, transparente e inteligible. 

→ No podrán utilizarse expresiones que induzcan a confusión tales como 

«usamos cookies para personalizar su contenido y crear una mejor experiencia para usted» o «para mejorar su navegación»

«podemos utilizar sus datos personales para ofrecer servicios personalizadas»

  • El consentimiento como base para cumplir la normativa 

A propósito del modo de mostrar la información, la Guía sobre el uso de las Cookies recomienda ofrecer dicha información mediante un sistema de información por capas, pudiendo ofrecer una Primera Capa de Información mediante los siguientes modelos de “Avisos de Cookies”: 

Conforme se detalla en la Guía de cookies, el primer y el segundo ejemplo se tendrán en cuenta para aquellos casos en los que se requiera un consentimiento explícito de los usuarios cuando el tratamiento de los datos que puedan captarse a través de las cookies se refiere a categorías especiales de datos de acuerdo con el artículo 9 del RGPD, mientras que el tercer ejemplo se utilizará como modelo en aquellos casos en los que no sea necesario el consentimiento explícito. Asimismo, en el documento se indica que la modalidad de “seguir navegando” es incompatible con los ejemplos números 1 y 2, por lo que el ejemplo 3 no será válido si en él además se incluye un mecanismo de aceptación explícita, como casillas o botones de aceptación.

Además, para que la acción de continuar con la navegación pueda considerarse un consentimiento válido, el aviso deberá insertarse en un lugar claramente visible, que no pueda pasar desapercibido para el usuario, de modo que por su forma, color, tamaño o ubicación pueda existir una razonable seguridad de que el usuario ha visto el anuncio, y será necesario, para que el consentimiento se considere otorgado, que el usuario realice una acción que pueda calificarse como una clara acción afirmativa. 

A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación. 

→ Por lo tanto, la instalación de cookies no podrá realizarse hasta que el usuario 

lleve a cabo una clara acción afirmativa de las indicadas que implique su consentimiento. 

• El panel de configuración 

La Guía sobre el uso de las Cookies especifica además que será necesario que la información de la primera capa se complete con un documento o panel de configuración en el que el usuario pueda optar entre habilitar o no las cookies de forma granular. Dicho panel podrá integrarse en la segunda capa informativa. 

Para facilitar la selección, deberá implementarse un botón para habilitar todas las cookies y otro para rechazarlas todas, siendo esta opción recomendable cuanto mayor sea el número distinto de cookies que se utilicen. 

El grado de granularidad a la hora de mostrar la selección de cookies deberá valorarlo el editor del sitio web. Si bien es aconsejable que se tengan en cuenta las siguientes reglas: 

  • Como mínimo deberían agruparse las cookies por su finalidad (por ejemplo, el usuario podría elegir habilitar las cookies analíticas y no así las publicitarias). 
  • Dentro de cada finalidad, y a elección del editor del sitio web, podrían agruparse las cookies en función del tercero que las instala. (por ejemplo, el usuario podría elegir habilitar las cookies analíticas de un determinado titular y no así las de otro)
  • En relación con las cookies de terceros es suficiente con identificarlos por su nombre (marca comercial) sin incluir la denominación social completa.
  • Debe evitarse el grado máximo de granularidad (selección cookie a cookie), ya que el exceso de información dificulta la toma de decisiones. 

Para la implementación de este panel de configuración, y si no disponemos de la tecnología necesaria para desarrollar esta herramienta web, podremos ayudarnos de plug ins desarrollados por terceras empresas como Cookiebot o Quancast

Por otro lado, la Segunda Capa de Información (la “Política de Cookies”) deberá encontrarse disponible de forma permanente en el sitio web o en la aplicación, y debe incluirse toda la información relativa al uso de cookies (definición y función de las cookies, tipos de cookies, la posibilidad de retirar el consentimiento para el uso de cookies, la posibilidad de denegar el acceso al servicio en caso de rechazo de las cookies, etc.). 

La AEPD ofrece además en la nueva Guía ejemplos de cómo mostrar esta información: 

  • Definición y función genérica de las cookie - Información sobre el tipo de cookies que se utilizan y su finalidad
  • Identificación de quién utiliza las cookies
  • Información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies 
  • Información sobre las transferencias de datos a terceros países realizadas por el editor 
  • Elaboración de perfiles cuando implique la toma de decisiones automatizadas con efectos jurídicos 

En este tipo de casos será necesario que se informe sobre la lógica utilizada para la elaboración de estos perfiles, así como la importancia y las consecuencias previstas de dicho tratamiento para el usuario en los términos establecidos en el artículo 13.2 f) del RGPD. 

- Periodo de conservación 

Será necesario informar sobre el período de conservación de los datos para los diferentes fines en los términos establecidos en el artículo 13.2 a) del RGPD. 

- Otra información 

Respecto al el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad. 

Por otro lado, es necesario destacar que la AEPD especifica en su Guía que el consentimiento podrá ser obtenido por el titular del sitio web a partir de distintos mecanismos, entre los que se citan los siguientes: 

(i) Al solicitar el alta en un servicio (ii) Durante el proceso de configuración del funcionamiento de la página web o 

aplicación (iii) A través de plataformas de gestión del consentimiento (consent management 

platform o CMP). (iv) Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido, por 

ejemplo, en la página web. (v) A través del formato de información por capas. (vi) A través de la configuración del navegador 

  • El consentimiento de menores de 14 años 

La Guía destaca igualmente que determinados sitios web o servicios en línea podrán estar dirigidos especialmente a menores, por lo que conviene en estos casos adoptar cautelas adicionales (mayor sencillez y claridad del lenguaje empleado). 

Además, tratándose de menores de 14 años, el responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento para el tratamiento de datos personales fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias del tratamiento. 

En este sentido, a la hora de establecer medidas para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela, deberá considerarse el nivel de riesgo asociado a la utilización de las cookies (por ejemplo, teniendo en cuenta la naturaleza de los datos que se recopilan) y atenderse especialmente al principio de minimización de datos. A menor riesgo, más sencillo podrá ser el sistema de verificación implementado. 

Conforme a lo anterior, la Guía propone lanzar mensajes distintos a los ejemplos citados anteriormente a propósito de la Primera Capa de Información o Aviso de Cookies: 

  • Responsabilidad de las partes en la utilización de cookies 

Por último, Guía establece la necesidad de que todos los agentes intervinientes que participan en la instalación y utilización de las cookies colaboren para el cumplimiento de las necesidades legales establecidas, debiendo ser los editores quienes ofrezcan toda la información sobre las cookies no exceptuadas de consentimiento, pero al mismo tiempo, cuando las cookies sean third party cookies, los proveedores de cookies deberán facilitar al editor la información necesaria para su publicación a favor del usuario. 

La Guía distingue, dentro de las cookies no exceptuadas de obtener el consentimiento para su instalación dos supuestos: que se trate de cookies propias o de terceros: 

- Cookies propias: será necesario que el editor de sitio web informe sobre las finalidades para las se tratarán los datos y obtenga el consentimiento del usuario, a través de alguna de las formas establecidas en la presente guía 

- Cookies de terceros: tanto el editor como las otras entidades intervinientes en la gestión de las cookies tendrán la responsabilidad de garantizar que los usuarios están claramente informados acerca de las cookies y de las finalidades para las se utilizarán y de obtener el preceptivo consentimiento. 

Teniendo en cuenta lo anterior, la Guía especifica que los editores, cuando no sean titulares de las cookies que se utilizan, deberán asegurar que los interesados reciben la información necesaria y que están habilitados los mecanismos que permitan su consentimiento, por ejemplo, a través de obligaciones o garantías contractuales que obliguen al tercero titular de las cookies o a través de la instalación de plataformas para la gestión del consentimiento 

En este sentido, la Guía recuerda que para poder cumplir con la finalidad de facilitar y garantizar el cumplimiento de las obligaciones establecidas en la normativa, cuando se instalen cookies de terceros se deberían incluir en los contratos que se celebren entre los editores y los terceros, una o varias cláusulas en las que se asegure que se ofrecerá a los usuarios la información requerida, y que se articulará la forma a través de la cual se pueda obtener un consentimiento válido para la utilización de las cookies y para su revocación, así como las consecuencias de la revocación del consentimiento para el editor y, especialmente, para los terceros que lo obtuvieron a través del editor. 

Impacto

¿Qué te pareció este artículo?

  • 889
  • 0

Recomendar

Recomendar

Si te pareció interesante este artículo, sé el primero en recomendarlo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

RECIBE NUESTRA NEWSLETTER



*Email: *Nombre apellidos: *Empresa:

Cargo:

Sector:  

   

Please don't insert text in the box below!

Patrocinado por: Patrocinador

3 de cada 10 españoles gastará entre 200€ y 300€ en regalos navideños

AliExpress, ICEX y Correos impulsan la digitalización e internacionalización de las PYMES madrileñas

El Pdte de Correos en la COP25: “El coste climático que tiene comprar en 24 horas es mayor que hacerlo en 72”

Ecommerce News Radio #27: Conociendo la revolucionaria marca IKHOS

La digitalización de los procesos de compras

X-Madrid, el ensayo del primer centro comercial del futuro en España

Alibaba abre su primer Centro Comercial

La digitalización de los procesos de compras

Comercio contextual: cómo conseguir que los consumidores se conviertan en compradores

Amazon y cómo las reglas de juego en publicidad digital han cambiado

Así han cambiado los Millenials la forma de comprar y vender

Cinco retos del eCommerce en 2020

Cómo crear una estrategia de email marketing en la era del consumidor empoderado

E-commerce: de villano al mejor aliado de la tienda física

Ecommerce Tour Coruña 19- Case Study III: Product Hackers: “A fidelizar con Xabarín”

Ecommerce Tour Coruña 19-Mesa Redonda B2BB2C

Mobile Commerce Congress 19 Mesa Redonda: el club de los 10

Ecommerce Tour Coruña’19: La era del consumidor

Mobile Commerce Congress 19-Mesa Redonda: Del ON al OFF

Ecommerce Tour Coruña’19-Nuevas soluciones de pago adaptados a PSD2

Webinar: Black Friday & Navidad: Cómo generar tráfico a tu E-commerce y convertirlo a ventas

Más leídas

Último número

Optimization WordPress Plugins & Solutions by W3 EDGE