Nueva receta para cookies, tras el RGPD:
Hace tiempo que oímos hablar de las cookies y que vemos avisos (algunos más discretos que otros) sobre el uso de cookies, cuando navegamos por las distintas páginas web. La regulación de las cookies no es ninguna novedad. De hecho, se las cookies encuentran reguladas en las Unión Europea desde 2009 (con la actualización de la Directiva ePrivacy) y en España desde 2012 (con la actualización de la LSSI), tras la trasposición de dicha Directiva.
Muchos recordaréis que en 2014 la Agencia Española de Protección de Datos (AEPD) impuso la primera sanción en España por infringir la normativa de cookies. Se sancionó con 3.000 euros y 500 euros a dos empresas españolas por no informar del uso de cookies en sus sitios web, conforme a la normativa. Esta sanción con efecto ejemplificador, hizo que la mayoría de empresas adaptara sus sitios web a la normativa de cookies de entonces.
Sin embargo, la llegada del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, introdujo una serie de cambios en la “receta de las cookies”. A raíz de ello, la AEPD ha impuesto este 2019 dos importantes sanciones por no cumplir con la actual regulación de cookies : Una primera sanción de 30.000 euros a una empresa de aerolíneas y, justo antes de acabar este año, otra sanción de 10.000 euros a una conocida empresa de mobiliario y objetos para el hogar.
¿Esta normativa afecta sólo a las cookies?
En absoluto. Se utiliza el término cookies por el empleo común de las mismas en la mayoría de sitios web. Sin embargo, la normativa aplica también en los sitios web (y en general, prestadores de servicios de la sociedad de la información) que utilicen otras tecnologías como web beacons, Tracking Pixels o browser fingerprinting.
¿Qué hay de nuevo en materia de cookies?
En primer lugar, resulta llamativo el incremento en las sanciones en materia de cookies. La realidad es que el RGPD ha supuesto un aumento en las sanciones en todos los sectores. Según datos disponibles, tras el RGPD las resoluciones sancionadoras en protección de datos ascienden en España a 1.250.000 euros.
A parte de ello, RGPD introduce una nueva receta para las cookies. Trasladándolo al ámbito culinario y de repostería, podríamos decir que los cambios se producen tanto en la masa (la forma de recabar el consentimiento), como en el horneado (el deber de informar).
¿Qué debo hacer para cumplir con las novedades en materia de cookies?
Tras el RGPD, la fórmula para cumplir con la nueva normativa de cookies es la siguiente:
1) “La masa de las galletas”, el consentimiento:
Es bien conocido que, en la mayoría de los alimentos, el secreto está en la masa. Y en las cookies no se produce una excepción. La base que legitima el tratamiento de las cookies es el consentimiento. El consentimiento se ha fortalecido tras el RGPD y con ello sólo es posible incorporar mecanismos que recaben el consentimiento mediante una acción positiva o afirmativa.
En este sentido el art. 4.11) del RGPD define en como “consentimiento del interesado”: «(…) toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
Tal como ha advertido la AEPD en algunas de sus resoluciones, para recabar correctamente el consentimiento de los usuarios, el responsable del sitio web deberá:
1.1 Impedir la instalación de cookies en el momento de entrar en el sitio web y durante la navegación, si ha existido rechazo de cookies no exentas.
1.2 Facilitar al usuario un panel de cookies para configurar de forma granular la instalación de cada una de ellas. Deberán encontrarse todas ellas (a excepción de las cookies técnicas o necesarias), desactivadas por defecto.
1.3 Permitir al usuario 3 opciones: (i) botón para rechazar todas las cookies, (ii) habilitarlas todas, y (iii) habilitarlas según la tipología de forma granular.
La AEPD sostiene que es válida la fórmula de seguir navegando, pero sólo si existe un botón para rechazar todas las cookies, para que sea tan fácil retirar el consentimiento como darlo.
2) “El Horneado”, el deber de información:
El horneado es otro elemento crucial en la cocina de las cookies. La información deberá ser previa y ello significa que no podrán instalarse las cookies hasta que el usuario haya leído y otorgado el consentimiento. Por ello, el responsable del sitio web deberá incorporar:
2.1 Aviso de cookies mediante banner o pop up (primera capa):
La AEPD aboga por el sistema de capas (2) donde se ofrezca en la primera capa una información clara más sintetizada y una información más extensa sobre las cookies en la segunda capa.
En la primera capa debe mostrarse la información esencial sobre el uso de cookies, que, como mínimo, deberá especificar:
i) la identificación del editor responsable del sitio web, no siendo necesaria la denominación social si se desprende de forma evidente del propio sitio web (puede bastar el nombre de la marca o nombre comercial);
ii) si las cookies son propias y/o de terceros,
iii) las finalidades de las cookies empleadas (de cada una de ellas, si existen varias finalidades),
iv) el modo en que el usuario puede prestar el consentimiento o rechazar su instalación y configurar su uso, advirtiendo, en su caso, que si se realiza una determinada acción (p.ej. “seguir navegando”), se entenderá que acepta el uso de las cookies,
v) la existencia del derecho a revocar el consentimiento y,
vi) un enlace claramente visible a la segunda capa informativa, donde se incluirá una información más detallada.
La información deberá ser clara y transparente, evitando términos ambiguos como el uso de cookies para “mejorar la experiencia de usuario”.
2.2 Política de cookies (segunda capa):
La segunda capa deberá encontrarse disponible en forma permanente en el sitio web y deberá incluir como mínimo la siguiente información:
i) una definición y función genérica de las cookies,
ii) los tipos de cookies utilizadas y su finalidad,
iii) el período de conservación de los datos para los diferentes fines,
iv) la forma de permitir, revocar el consentimiento ya prestado o eliminar las cookies enunciadas a través de las funcionalidades facilitadas por el editor (el sistema de gestión o configuración de cookies habilitado) o el terminal o a través de las plataformas comunes que pudieran existir para esta finalidad.
v) Si el sistema de gestión o configuración de las cookies del editor no permite evitar la utilización de las cookies de terceros una vez aceptadas por el usuario, se facilitará información sobre las herramientas proporcionadas por los principales navegadores y se advertirá que si el usuario acepta cookies de terceros, deberá eliminarlas desde las opciones del navegador. Asimismo, deberán facilitarse los enlaces a las herramientas de desactivación de cookies de los navegadores Firefox, Mozilla, Chrome, Internet Explorer, Safari. Cabe tener en cuenta que la información dispuesta en los navegadores sería complementaria al sistema de información por capas. Por si sola, es insuficiente a los efectos pretendidos de permitir al usuario configurar sus preferencias de forma granular.
vi) Informar sobre la identificación de quien utiliza las cookies, esto es, si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros con los que el editor haya contratado la prestación de un servicio para el cual se requiera el uso de cookies, con identificación de estos últimos.
vii) En el caso de utilizar en sistema de analíticas de Google, deberá proporcionarse el “complemento inhabilitación para navegadores de Google Analytics”.
viii) Con carácter recomendado, en cumplimiento del principio de transparencia, deberá informarse a los usuarios de las características o áreas de la web que no funcionan correctamente en el caso de rechazar o desactivar cookies no exentas.
¿Debo informar y recabar el consentimiento siempre que utilice cookies?
Como norma general, sí. Pero existen 2 exenciones donde no será necesario informar y recabar el consentimiento:
i) Cuando el uso de cookies tenga como único fin permitir la comunicación entre el equipo del usuario y la red.
ii) Cuando la instalación de cookies sea necesaria para la prestación del servicio de la sociedad de la información solicitado.
Tras cumplir con los puntos mencionados anteriormente en la receta, conseguiremos unas deliciosas cookies conformes al RGPD. ¡Feliz cocina!
Autor
EDUARD BLASI. (Le podéis seguir en Instagram o Twitter)
Abogado especializado en derecho digital y Profesor de cursos de postgrado sobre Protección de Datos en la Universitat Oberta de Catalunya (UOC).
Licenciado en derecho por la Universidad Autónoma de Barcelona. Ha colaborado en la Autoridad Catalana de Protección de Datos y en el Supervisor Europeo de Protección de Datos. Ha comparecido ante el Parlamento de Catalunya para la elaboración de normas relacionadas con la protección de datos y derecho tecnológico.
Actualmente es vicepresidente 3ro de la Asociación Profesional Española de Privacidad (APEP) y Cofundador de la app de mensajería instantánea segura Nepcom.
(5 votos, promedio: 4,20 de 5)
Cargando…
Déjanos tu comentario