En enero de 2014, la AEPD ha publicado su Guía sobre el uso de cookies para herramientas de medición de audiencia. Veamos que dice:
«La gestión de un sitio web, o de una aplicación móvil, por parte de un editor generalmente requiere el uso de estadísticas de tráfico o de rendimiento, que a menudo son esenciales para la prestación del servicio. Una de las soluciones técnicas para recabar la información necesaria para elaborar dichas estadísticas es el uso de dispositivos de almacenamiento y recuperación de datos: cookies o tecnologías similares (a lo largo de este documento todas ellas se englobarán en el término genérico de cookies)».
Acto seguido, podemos leer: «Las cookies utilizadas con el fin de obtener estadísticas de tráfico o de rendimiento podrían estar exentas de consentimiento bajo ciertas condiciones».
Para estar exentos de consentimiento, de conformidad con el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, dichas cookies deben tener «una finalidad estrictamente limitada a la medición exclusiva de la audiencia del sitio o de la aplicación. Este tratamiento ha de ser realizado en nombre exclusivo del editor y ser utilizadas para producir datos estadísticos anónimos únicamente». Además, «no deben dar lugar a que los datos se cotejen con otras operaciones de tratamiento o a que los datos se transmitan a terceros». Tampoco deben permitir el seguimiento agregado de la navegación de la persona que utiliza diferentes aplicaciones o navega por diferentes sitios web.
La AEPD considera que para la correcta administración de un sitio web sólo son estrictamente necesarias las siguientes mediciones:
- Medición de audiencia, página por página.
- La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual (a veces llamada “referente”), ya sea interna o externa al sitio, por página y agregada diariamente.
- Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente.
- Estadísticas de tiempo de carga de la página, por página y agregadas por hora.
- Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente.
- Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente.
- Estadísticas sobre la zona geográfica de origen de las solicitudes, por página y agregadas diariamente.
Cualquier otro tratamiento más allá de dicho listado, tanto por el editor como por el proveedor, ha de contar con el consentimiento del interesado para ser considerado lícito.
El hecho de que no se requiera el consentimiento del usuario para tratar sus datos no quita que deban cumplirse una serie de garantías:
- Los usuarios serán informados de la utilización de estas cookies con el propósito de medición de audiencias, por ejemplo, a través de la política de privacidad del sitio o la aplicación móvil.
- La vida útil de estas cookies o tecnologías similares se limitará a un período que permita una comparación significativa de audiencias a lo largo del tiempo, como es el caso de una duración de trece meses, y que no se extenderá automáticamente en nuevas visitas.
- La información recopilada a través de estas cookies se conservará durante un período máximo de veinticinco meses.
- La vida útil y periodo de conservación mencionados anteriormente estará sujetas a revisión periódica para limitarse a lo estrictamente necesario.
Cuando el editor recurra a un proveedor de servicios de medición de audiencia tendrá que cumplir con las siguientes garantías adicionales:
- Tener con el proveedor un compromiso contractual que cumpla los requisitos del artículo 28 del RGPD en el que se explicite:
- La obligación no reutilizar los datos recopilados.
- Restringir el tratamiento de los datos a los propósitos establecidas como estrictamente necesarios.
- Cumplir con las garantías establecidas para el caso de dar servicio a múltiples editores.
- Que toda transferencia de datos fuera de la Unión Europea cumple con las condiciones establecidas en el RGPD.
- Realizar y documentar una evaluación, por sí mismo o por un tercero independiente, de si es posible configurar, y están configuradas, las herramientas proporcionadas por el proveedor para garantizar el cumplimiento de los requisitos enumerados en el apartado anterior.
Si un proveedor proporciona un servicio de medición comparativa de audiencia a varios editores debe dar garantías objetivas al editor de que:
- Los datos se recopilan, procesan y almacenan de forma independiente para cada editor.
- Las cookies o tecnologías similares utilizadas son completamente independientes las unas de las otras y de cualquier otra cookie o tecnología similar.