Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y COMPLIANCE

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

La política de cookies. Novedades

Tras la entrada en vigor del RGDP y la LOPDGDD se advierte la necesidad de actualizar la llamada “Política de cookies” junto con la “Política de Privacidad”. En todo caso, la norma de rango especial que rige sigue siendo la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

Las cookies son archivos que algunos servidores piden descargar en nuestro equipo con información acerca de lo que estamos haciendo en la web visitada, por ejemplo: el lugar desde el que se accede, tiempo de conexión, tipo de dispositivo desde el que accede, el sistema operativo y navegador utilizados, páginas más visitadas y otros datos respecto al comportamiento del usuario.

Para la utilización de “cookies” en sitios web es necesario obtener el consentimiento previo del usuario o destinatario de los servicios de la sociedad de la información de conformidad con el artículo 22.2 de la LSSI. Para que dicho consentimiento sea válido es necesario que se otorgue de forma libre e informada. En ningún caso la mera inactividad del usuario puede implicar la prestación del consentimiento por sí misma.

Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo “clic” en un apartado que indique “consiento”, “acepto” u otros términos similares.

También puede inferirse de una inequívoca acción realizada por el usuario o destinatario en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies. 

Otras consideraciones a tener en cuenta:

a) Las modalidades de prestación del consentimiento pueden ser variadas.

La obtención del consentimiento mediante “clic” del usuario o de una conducta similar facilitará la prueba de que se ha obtenido su consentimiento. Esta fórmula puede ser la más apropiada para usuarios registrados. 

La obtención del consentimiento mediante una conducta determinada de los usuarios es admisible, siempre y cuando las condiciones en que se produzca la conducta ofrezcan suficiente certeza de que se presta un consentimiento informado e inequívoco. Ahora bien, esta opción puede presentar mayores dificultades de prueba sobre su obtención; esto dependerá, fundamentalmente, de la claridad y accesibilidad de la información que se haya ofrecido y del tipo de acción del que se deduzca el consentimiento.

b) El usuario deberá haber realizado algún tipo de acción.

El usuario o destinatario tendrá que haber sido informado, previamente y con claridad, con qué concreta acción suya acepta la utilización de las cookies. Por ejemplo, si sigue navegando por la web, hace “clic” en un contenido o realiza otras acciones afirmativas.

Aunque las cookies no suelen utilizarse en escenarios en los que el RGPD exige el consentimiento explícito de los interesados, cuando este consentimiento explícito sea necesario en los supuestos previstos en los artículos 9.2.a), 22.2.c) y 49.1.a) del RGPD, el consentimiento podrá obtenerse mediante botones de aceptación acompañados de la posibilidad de gestionar las cookies. No será válida la modalidad de “seguir navegando”.

c) La información sobre cookies estará separada del resto de la información que se le ofrezca al usuario sobre otros asuntos como, por ejemplo, los términos y condiciones de uso del sitio web. 

La determinación del método más apropiado para obtener el consentimiento para usar cookies dependerá del tipo de cookies que se van a utilizar, de su finalidad y de si son propias o de terceros. Un aspecto a tener en cuenta es si la relación con el usuario la tiene el editor y/o los terceros. En este sentido, debe indicarse si el consentimiento se presta solo para la web en la que se está solicitando o si se facilita, también, para otras páginas web del mismo editor o incluso para terceros asociados al editor en el marco de las finalidades de las cookies sobre las que se ha ofrecido información. 

El consentimiento se puede solicitar en el momento del alta en el servicio, siempre y cuando la solicitud esté separada y no se agrupe con la aceptación de los términos y condiciones de uso del sitio web, de su política de privacidad o condiciones generales del servicio. 

También se puede recabar el consentimiento durante el proceso de configuración del sitio web o aplicación móvil. De modo que, la prestación del consentimiento para la utilización de las cookies puede configurarse durante el proceso de elección o especificación por parte del usuario de las características, quedando el consentimiento integrado en la elección del usuario y recordando los ajustes elegidos por este.

d) El consentimiento del usuario se puede recabar a través de plataformas de gestión del consentimiento (Consent Management Platform o CMP).

Un CMP viene a ser una plataforma tecnológica que se encarga de recopilar y almacenar toda la información de consentimiento de los visitantes de una web. Son habituales para gestionar publicidad programática. 

Estas plataformas suelen recabar el consentimiento del usuario antes de descargar el servicio o aplicación ofrecido, si las cookies que se pretenden utilizar no son necesarias para el funcionamiento de dicho servicio aplicación. En todo caso, se informará sobre las finalidades de las cookies y si pertenecen a terceros. 

Cuando una web ofrezca contenidos audiovisuales, estos son parte del servicio expresamente solicitado por el usuario, estando por tanto exceptuado del deber de requerir su consentimiento para mostrar tal contenido.

Si el usuario desea ejercer un derecho que le está legalmente reconocido, por ejemplo, la baja en el servicio, y dicho servicio es el único medio facilitado al usuario para ejercitar tal derecho, no podrá condicionarse el acceso a la aplicación o servicio a la aceptación de las cookies no necesarias.

e) El formato aconsejable para facilitar la información al usuario es “por capas”. 

En el formato de información por capas, la primera capa, que contiene la información esencial, debe incluir la petición del consentimiento para la utilización de las cookies. La página web facilitará un panel de control o configuración de cookies que permita al usuario, de forma separada, rechazar todas las cookies, habilitarlas todas o hacerlo de forma selectiva. En la segunda capa el usuario será informado, con todo detalle, sobre las cookies empleadas y las finalidades de cada una. La información sobre las herramientas proporcionadas por los diferentes navegadores para configurar las cookies se considera insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva.

La información que se ofrezca en la primera capa se podrá mostrar a través de un formato que sea visible para el usuario como, por ejemplo un banner, una barra o a través de técnicas o dispositivos similares, teniendo en cuenta que la localización en la parte superior de la página normalmente capta mejor la atención de los usuarios. En los terminales de pantalla reducida se podrá adecuar el tamaño y el contenido de primera capa a las dimensiones de la misma.

f) A través de la configuración del navegador.

La configuración del navegador deberá poder utilizarse de modo que permita que los usuarios manifiesten su conformidad con la utilización de las cookies. El consentimiento debería ser separado para cada uno de los fines previstos y la información que se facilita debería nombrar a los responsables del tratamiento.

g) Los usuarios deberán poder retirar el consentimiento previamente otorgado de forma fácil y en cualquier momento. 

El sistema que se ofrezca para retirar el consentimiento debe ser tan fácil como el utilizado cuando se prestó (se considerará que esa facilidad existe, por ejemplo, cuando el usuario tenga acceso sencillo y permanente al sistema de gestión o configuración de las cookies). El editor deberá asegurarse de que facilita información a los usuarios en su política de cookies sobre cómo pueden retirar el consentimiento y eliminar las cookies.

En el caso de rechazo a las cookies, cabe la posibilidad de denegación del acceso al servicio, de forma total o parcial, siempre que se informe adecuadamente al usuario. No obstante, no podrá denegarse el acceso al servicio en caso de rechazo de las cookies en aquellos supuestos en que tal denegación impida el ejercicio de un derecho legalmente reconocido al usuario, por ser el acceso a dicho sitio web el único medio facilitado al usuario para ejercitar tal derecho (por ejemplo, la baja del servicio).

Merece un capítulo aparte el consentimiento otorgado por menores de 14 años.

Tratándose de menores de 14 años, el responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento para el tratamiento de datos personales fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias del tratamiento.

A la hora de establecer medidas para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela deberá considerarse el nivel de riesgo asociado a la utilización de las cookies (por ejemplo, teniendo en cuenta la naturaleza de los datos que se recopilan) y atenderse, especialmente, al principio de minimización de datos. Por ejemplo, tratándose de usuarios no registrados de un sitio web dirigido a menores, si sus datos de dispositivo y de navegación se utilizan únicamente con fines analíticos, el consentimiento del titular de la patria potestad o tutela podría obtenerse previa advertencia dirigida al menor indicándole en la primera capa informativa que, si tiene menos de 14 años, antes de seguir navegando, avise a sus padres o tutores para que acepten, configuren o rechacen las cookies.

Cuando el uso proyectado de los datos personales tenga por objeto recordar determinada información del usuario o su terminal para alterar automáticamente determinados aspectos de la navegación y personalizar su experiencia (por ejemplo, el idioma del sitio web o el aspecto con el que se presentan los contenidos), sin que llegue, no obstante, a elaborarse un perfil del menor, generalmente, y a falta del correspondiente análisis de riesgos, conforme a las circunstancias concretas del caso, deberían adoptarse cautelas adicionales para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela.

El sistema implantado por el responsable del tratamiento debe ser capaz de detectar incidencias que lleven a la conclusión de que los datos introducidos no son correctos para, en tal caso, evitar la utilización de cookies hasta obtener el consentimiento del titular de la patria potestad o tutela (podrían considerarse incidencias de este tipo las fechas que aún no hayan llegado, o que impliquen que el titular de la patria potestad o tutela no es mayor de edad o que tiene una edad tan avanzada que no es razonable que la persona siga con vida o que tenga hijos menores de catorce años).

Los editores podrán utilizar cualesquiera fórmulas de verificación que sean razonables para verificar que el titular de la patria potestad o tutela es quien presta el consentimiento y no el menor de 14 años (por ejemplo, preguntas o captchas). También se puede requerir información adicional de los padres o tutores a efectos de verificación (por ejemplo, un correo electrónico de contacto al que el editor pueda remitir un mensaje con la finalidad de que se verifique la aceptación por los padres o tutores del menor).

En aquellos casos en que el consentimiento no se preste por los padres o tutores del menor, por tener este más de 14 años, se recomienda a los editores abstenerse de utilizar cookies de publicidad comportamental en las webs dirigidas a menores o cuya audiencia esté compuesta mayoritariamente de menores.

Si el consentimiento para el uso de cookies se obtuviese durante el proceso de alta en un servicio, o en el contexto de otro proceso en el que se soliciten datos personales a los menores, como pueden ser el nombre y apellidos, una dirección de correo electrónico u otros datos de contacto, en estos casos podrá solicitarse a efectos de verificación información adicional sobre los padres o tutores (por ejemplo, su nombre y apellidos, dirección de correo electrónico con la finalidad anteriormente descrita, o una copia del documento nacional de identidad o documento equivalente) o pedir a estos que suscriban una declaración de consentimiento.

En resumen, el uso de cookies podrá tener lugar cuando el usuario o destinatario disponga de la información preceptiva sobre las cookies y la forma de obtención del consentimiento y el mismo se preste conforme a los procedimientos indicados. La utilización de cookies debe ir acompañada por un consentimiento informado de los usuarios para tal utilización, de forma que los destinatarios tengan la oportunidad de examinar la información y decidir si aceptan, o no, la utilización de estos dispositivos.

Un mismo editor que presta diferentes servicios a través de diferentes dominios podrá, a través de una sola web, informar y obtener el consentimiento para la utilización de las cookies que se envíen desde el resto de dominios que sean de su titularidad y ofrezcan contenidos o tengan características similares, con motivo de la prestación de los servicios solicitados por el usuario, siempre que se informe sobre cuáles son las páginas web o dominios de su titularidad desde los que se van a enviar las cookies, el tipo de cookies y su finalidad.

Como regla general, siempre que un consentimiento haya sido obtenido de forma válida, no será necesario obtenerlo cada vez que un usuario visite, de nuevo, la misma página web desde la que se presta el servicio. Ahora bien, si los fines de uso de las cookies o los terceros que hacen uso de las cookies cambian después de haber obtenido el consentimiento es necesario actualizar la política de cookies y permitir a los usuarios tomar una nueva decisión. Es recomendable la renovación del consentimiento a intervalos apropiados. La AEPD considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses.

Si quieren saber más sobre las cookies pueden consultar la siguiente Guía práctica de la AEPD:

https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf

Actualizaciones:

La AEPD sanciona a una empresa con 40.000,00 € por la implantación de la política de privacidad (cookies) de forma inadecuada. Les dejo un enlace a la resolución: 

https://www.aepd.es/es/documento/ps-00295-2019.pdf

En el futuro hemos de estar atentos a las novedades que pueda introducir el denominado Reglamento sobre la privacidad y las comunicaciones electrónicas. En el siguiente enlace pueden acceder a la propuesta:

https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52017PC0010&from=ES

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).