El Blog de Lidia Gimeno

Blog sobre Derecho de las nuevas tecnologías y protección de datos

Los 5 mandamientos de la información sobre Cookies

Un elemento que nos acecha, día a día, en nuestra navegación por internet son las Cookies, esos archivos que se descargan en nuestro dispositivo con la finalidad de almacenar datos sobre nosotros y que pueden ser recuperados por la entidad que los ha instalado a posteriori.

En el presente post indicaré, de forma resumida, los cinco elementos clave que considero deben tenerse en cuenta a la hora de gestionar, en una página web, la información/obtención del consentimiento sobre el uso de Cookies.

1) “Una primera capa de información deberás colocar

La información requerida por la Agencia Española de Protección de Datos (en adelante, AEPD) deberá proporcionarse en dos capas: una primera capa en la que se indiquen elementos clave y una segunda capa donde el usuario pueda obtener toda la información sobre las Cookies instaladas.

En la primera capa de información deberá indicarse:

  • La advertencia del uso de Cookies (no exceptuadas) al navegar en la página web.
  • Deben identificarse las finalidades de las Cookies instaladas.
  • Debe advertirse al usuario que, de realizar determinada acción, se considerará que el usuario ha aceptado el uso de las Cookies.
  • Un enlace a una segunda capa informativa

Debe tenerse en cuenta que la AEPD considera necesaria la existencia de la primera capa de información, siendo motivo de sanción (como puede verse, por ejemplo, en la Resolución R/02990/2013 dictada en el Procedimiento Sancionador PS/00321/2013).

2) “El botón de aceptar deberías nunca olvidar

El artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSI) indica que los usuarios deberán haber sido informados y haber consentido la instalación de las Cookies en su equipo.

El consentimiento debe ser una manifestación de voluntad, materializándose el mismo mediante una declaración de voluntad expresamente formulada o a través de cualquier otra forma de la que, de forma indudable, se manifieste la voluntad de una persona.

Si bien es cierto podría obtenerse el consentimiento por la realización de una acción (por ejemplo, moverse por la página web), se considera recomendable darle la posibilidad al usuario de aceptar de forma expresa la instalación o de consentir a través de la navegación por la web.

3) “La Política de Cookies siempre visible harás

La AEPD requiere que la segunda capa de información sobre Cookies sea identificable y accesible de forma fácil por el usuario de la página web.

Ello no requiere que la Política de Cookies, per se, deba contenerse en una página a parte dentro de la página web; sino que la denominación de la página en la que se contenga se identifique que contiene la “Política de Cookies”.

Así, no existe problema alguno en juntar, en una misma página, la Política de Privacidad y Cookies, siempre que el enlace a dicha página identifique, de manera clara, que a partir de dicho enlace se accede a la Política de Cookies.

4) “El tipo de Cookie deberás indicar

La AEPD requiere que se indiquen los tipos de Cookies instaladas en el equipo del usuario.

A continuación se indican los tipos de Cookies establecidos por la AEPD en su Guía sobre el uso de Cookies:

1. Tipos de cookies según la entidad que las gestione:
Según quien sea la entidad que gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos distinguir:

– Cookies propias: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.

– Cookies de tercero: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.
En el caso de que las cookies sean instaladas desde un equipo o dominio gestionado por el propio editor pero la información que se recoja mediante éstas sea gestionada por un tercero, no pueden ser consideradas como cookies propias.

2. Tipos de cookies según el plazo de tiempo que permanecen activadas
Según el plazo de tiempo que permanecen activadas en el equipo terminal podemos distinguir:

– Cookies persistentes: Son un tipo de cookies en el que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

– Cookies de sesión: Son un tipo de cookies diseñadas para recabar y almacenar datos mientras el usuario accede a una página web. Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (p.e. una lista de productos adquiridos).

3. Tipos de cookies según su finalidad

Según la finalidad para la que se traten los datos obtenidos a través de las cookies, podemos distinguir entre:

– Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.

– Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.

– Cookies de análisis: Son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

5) “La retirada del consentimiento permitirás

La AEPD exige que los usuarios puedan retirar el consentimiento otorgado para la instalación de Cookies.

Para ello, en la Política de Cookies, deberá informarse al usuario sobre cómo retirar el consentimiento y eliminar las cookies.

Añadido a ello, sería interesante informar al usuario sobre las consecuencias concretas que tendrá la retirada del consentimiento (p.e. que determinadas funcionalidades de la página web no estén operativas).

A continuación se indica el ejemplo propuesto por la AEPD en su Guía sobre uso de Cookies:

Cookies
Ejemplo planteado por la AEPD para retirada de consentimiento en Política de Cookies en la Guía sobre uso de Cookies. 

Posts relacionados