Debido a la modificación de la “Ley de Servicios de la Sociedad de la Información” (LSSICE) establecida por el Real Decreto 13/2012, de 30 de marzo, es obligatorio obtener el consentimiento expreso del usuario de todos los sitios web que usan cookies prescindibles, antes de que éste navegue por ellas.
Este documento está actualizado a la guía sobre el uso de las cookies publicada por la AEPD en noviembre de 2019:
Guía sobre el uso de las cookies de la AEPD
Según el art. 22.2 de la LSSI, las cookies y otras tecnologías similares tales como local shared objects, flash cookies, son herramientas empleadas por los servidores Web (emisor) para almacenar y recuperar información de un equipo terminal receptor (persona física o jurídica), así como para ofrecer un correcto funcionamiento del sitio. El considerando 30 del GDPR menciona estas tecnologías y su impacto en la protección de datos.
Mediante el uso de estos dispositivos se permite al servidor Web recordar algunos datos concernientes al usuario, como sus preferencias para la visualización de las páginas de ese servidor, nombre y contraseña, productos que más le interesan, etc.
Quedan exceptuadas de obtener el consentimiento informado, según el art. 22.2 de la LSSI, las cookies de carácter técnico y las necesarias para el funcionamiento del sitio web y las de prestación de servicios expresamente solicitados por el usuario, por lo que no sería necesario informar ni obtener el consentimiento sobre su uso.
Aunque no exista obligación, por razones de transparencia, se recomienda informar al usuario, al menos con carácter genérico, de estas cookies ya sea en la política de cookies o en la propia política de privacidad (ejemplo: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”).
Según el GT29 en su dictamen 4/2012* se interpretan cookies exceptuadas de consentimiento informado las:
Las cookies de sesión y de entrada de usuario se suelen utilizar para rastrear las acciones del usuario al rellenar los formularios en línea en varias páginas, o como cesta de la compra para hacer el seguimiento de los artículos que el usuario ha seleccionado al pulsar un botón.
P. ej. Las cookies utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web.
*En el citado dictamen se observa que para que una cookie pueda estar exenta del consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello es mucho más probable que se consideren como exceptuadas las cookies de sesión que las persistentes, pero se deberán analizar.
Comentar a este respecto que una misma cookie puede tener más de una finalidad por lo que existe la posibilidad de que para una finalidad quede exceptuada y para otra necesite el consentimiento informado.
1. Según sea la entidad que gestione el equipo o dominio desde donde se envíen podemos distinguir:
2. Según el plazo de tiempo que permanecen activadas en el equipo terminal podemos distinguir:
3. Según la finalidad para la que se traten los datos obtenidos a través de las cookies, podemos distinguir entre:
La información sobre las cookies facilitada al usuario debe ser suficientemente completa para permitir entender sus finalidades y el uso que se les dará.
Los requisitos para que la política de cookies sea transparente son:
La política de cookies debe contener:
Para comunicar la información del tratamiento se debe disponer de un enlace accesible y permanente en todo momento a través de la página web a la Política de cookies. Se considerará que se cumple dicho requisito cuando el sistema de gestión de las cookies (panel de configuración, CMP, etc.) esté integrado en la propia política de cookies o cuando se incluya en esta política un enlace que lleve directamente al sistema de gestión.
Cuando la base legítima para la instalación de cookies se base en el consentimiento del usuario (interesado), se puede disponer de un banner, que se mostrará al acceder al sitio web, con la información básica del tratamiento (1ª capa basada en el art. 11 LOPDGDD), con la siguiente información:
IMPORTANTE: para legitimar un tratamiento basado en el consentimiento, no se deben usar ni instalar las cookies antes que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo. De la misma forma, debe ser tan fácil retirar el consentimiento como haberlo dado (art.7 GDPR).
5.1 PRIMERA CAPA
Ejemplos prácticos de banner (1ª capa) con la información sobre el uso de cookies analíticas y de publicidad comportamental realizado por el propio editor y por terceros (obtenidos de la guía sobre el uso de las cookies de la AEPD):
1. Se obtiene el consentimiento explícito haciendo clic en el botón “Aceptar cookies”.
Mientras no acepte, el usuario no autoriza el uso de cookies, aunque continúe navegando.
El banner podrá permanecer visible hasta que el usuario acepte o rechace la instalación de las cookies.
COOKIES Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ. ACEPTAR COOKIES RECHAZAR COOKIES |
2. Como en el ejemplo anterior, si no se pulsa el botón “Aceptar”, el usuario no autoriza el uso de cookies.
COOKIES Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica AQUÍ para más información. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso clicando AQUÍ. ACEPTAR |
3. La modalidad “seguir navegando” es incompatible con los ejemplos 1 y 2, por lo que el ejemplo 3 no será válido si en él además se incluye un mecanismo de aceptación explícita, como casillas o botones de aceptación.
Para que la acción “seguir navegando” pueda considerarse un consentimiento válido, el aviso deberá insertarse en un lugar claramente visible que no pase desapercibido para el usuario y que éste realice una acción que pueda calificarse como una clara acción afirmativa.
COOKIES Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias, en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Si continúas navegando, consideraremos que aceptas su uso. Puedes configurar o rechazar la utilización de cookies u obtener más información AQUÍ. |
Se considera una clara acción afirmativa:
No se considera una clara acción afirmativa:
Este ejemplo no podrá utilizarse para tratamientos que requieran un consentimiento explícito de los usuarios. En todo caso, deberían analizarse las cookies utilizadas para así adaptar la información a cada situación particular.
5.2 PANEL DE CONFIGURACIÓN PARA ACEPTAR O RECHAZAR LAS COOKIES
La información de la 1ª capa debe completarse con un panel en el que el usuario pueda optar entre aceptar o rechazar las cookies en la 1ª capa (banner), o un enlace que conduzca a dicho panel en la 2ª capa (política de cookies). También podrá utilizarse plataformas externas de gestión del consentimiento (Consent Management Platform o CMP).
En el panel de configuración se recomienda agrupar las cookies por su finalidad y, dentro de esta, si es el caso, en función del tercero que las utiliza, para que el usuario pueda aceptar o rechazar grupos de cookies en vez hacerlo una a una, así se evitará ofrecer un exceso de información que dificulte la toma de decisiones.
Los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento. Para respetar el requisito de que sea tan fácil retirar el consentimiento como darlo, en el panel de configuración podrán implementarse dos botones, uno para aceptar todas las cookies y otro para rechazarlas. Si se utiliza la modalidad “seguir navegando”, deberá incluir un botón para rechazar todas las cookies.
Ejemplos prácticos del panel de configuración para aceptar o rechazar el uso de cookies analíticas y de publicidad comportamental realizado por el propio editor y por terceros:
1. Panel de configuración ubicado en la 1ª capa (banner)
El banner podrá permanecer visible hasta que el usuario acepte la instalación de las cookies.
COOKIES Esta web solo instalará cookies analíticas si usted lo acepta expresamente. Las cookies _ga son propiedad de Google Analytics y sirven para mejorar nuestros servicios mediante el análisis de sus hábitos de navegación. Podrá revocar este consentimiento, obtener más información e informarse de sus derechos en la Política de cookies ACEPTO
|
COOKIES Esta web solo instalará cookies analíticas y de publicidad comportamental si usted lo acepta expresamente. Las cookies _ga son propiedad de Google Analytics y sirven para mejorar nuestros servicios mediante el análisis de sus hábitos de navegación. Las cookies Doubleclick son propiedad de Google Inc. y sirven para mostrarle publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Podrá revocar este consentimiento, obtener más información e informarse de sus derechos en la Política de cookies ACEPTAR LAS COOKIES SELECCIONADAS
|
2. Panel de configuración ubicado en la 2ª capa (Política de cookies)
PANEL DE CONFIGURACIÓN DE COOKIES Usted puede aceptar o rechazar el uso de cookies agrupadas por sus finalidades, y si es el caso, en función del tercero que las utiliza: Cookies analíticas Las cookies _ga son propiedad de Google Analytics y sirven para mejorar nuestros servicios mediante el análisis de sus hábitos de navegación.
Cookies de publicidad comportamental Las cookies Doubleclick son propiedad de Google Inc. y sirven para mostrarle publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas).
|
3. Información sobre proveedores externos del sitio web
COOKIES DE TERCEROS Algunas de nuestras páginas del sitio web muestran contenido de proveedores externos, como YouTube, Facebook, Twitter, Linkedin, etc. Para acceder a los contenidos de terceros, los usuarios deben aceptar previamente las condiciones que estos aplican (entre las que se incluyen sus políticas de cookies, ajenas a nuestro control). Si los usuarios optan por no acceder a esos contenidos, estas cookies de terceros no se instalan en sus dispositivos. Proveedores externos de este sitio web: YouTube Los servicios de terceros son ajenos al control del editor. Los proveedores pueden modificar en todo momento sus condiciones de servicio, finalidad y utilización de las cookies, etc. |
También se puede hacer directamente desde la configuración el dispositivo:
COOKIES DE TERCEROS Eliminar las cookies del dispositivo Las cookies que ya están en un dispositivo se pueden eliminar borrando el historial del navegador, con lo que se suprimen las cookies de todos los sitios web visitados. Sin embargo, también se puede perder parte de la información guardada (por ejemplo, los datos de inicio de sesión o las preferencias de sitio web). Gestionar las cookies específicas del sitio Para tener un control más preciso de las cookies específicas de cada sitio, los usuarios pueden ajustar su configuración de privacidad y cookies en el navegador. Bloquear las cookies Aunque la mayoría de los navegadores modernos se pueden configurar para evitar que se instalen cookies en los dispositivos, eso puede obligar al ajuste manual de determinadas preferencias cada vez que se visite un sitio o página. Además, algunos servicios y características pueden no funcionar correctamente (por ejemplo, los inicios de sesión con perfil). |
4. Información sobre plataformas externas de gestión del consentimiento (Consent Management Platform o CMP).
Puede consultarse la lista de CMP registrados en https://advertisingconsent.eu/cmp-list/
Todos los CMP de esta lista han superado las verificaciones de cumplimiento requeridas por el Programa de cumplimiento de CMP de IAB Europe.
Los CMP que no están en esta lista no están registrados con el TCF o no cumplen.
Esta lista se actualiza diariamente. Los más utilizados son Quantcast y Cookiebot.
PLATAFORMA DE GESTIÓN DEL CONSENTIMIENTO (CMP) Los usuarios pueden gestionar/eliminar las cookies desde la plataforma COOKIEBOT: cookiebot.mgr.consensu.org |
Artículo 22.2 LSSI. Derechos de los destinatarios de servicios.
2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
Considerando 30 GDPR
Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.