Facebooktwitterlinkedin

Como ya anunciamos en nuestro artículo “Cómo implementar correctamente la política de cookies (y evitar sanciones como la de Vueling)”, la Agencia Española de Protección de Datos (AEPD) publicó el pasado viernes 8 de noviembre la nueva Guía sobre el uso de las cookies, la cual supone una actualización del documento publicado en el año 2013

El equipo de Letslaw asistió al acto de presentación presidido por la directora de la AEPD, Mar España, y ha contado con las intervenciones de José Domingo Gómez Castallo, director general de AUTOCONTROL, Reyes Justribó Ferrer, directora general de IAB Spain, José Luis Zimmermann, director general de ADIGITAL y Lidia Sanz, directora general de la Asociación Española de Anunciantes (AEA).

Cuál es el objetivo de la Guía para el uso de las cookies

Cómo implementar correctamente la política de cookies (y evitar sanciones como la de Vueling)

El objetivo principal de esta Guía sobre el uso de las cookies consiste en ofrecer una serie de orientaciones prácticas sobre cómo cumplir con la obligación establecida en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), en el cual se regula la necesidad de obtener el consentimiento informado de los usuarios previamente a la descarga de tecnología cookie en sus dispositivos.

En este sentido, y conforme a la Guía sobre el uso de cookies, “dadas las múltiples complejidades que plantea el uso de las cookies, las orientaciones aquí recogidas no pretenden ofrecer una solución general y uniforme para el cumplimiento de la ley, sino que deben servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio.”

Las orientaciones ofrecidas por la AEPD deben tenerse en cuenta para su aplicación a todo tipo de cookies y tecnologías similares utilizadas para almacenar y recuperar datos, incluyendo tecnologías tales como local shared objects o flash cookies, web beacons o bugs, etc., así como técnicas de fingerprinting, es decir, técnicas de toma de la huella digital.

¿También debe de aplicarse a las denominadas cookies técnicas?

El documento indica que quedan excluidas del deber de obtener el consentimiento informado las siguientes categorías de cookies:

  1. Cookies de «entrada del usuario»
  2. Cookies de autenticación o identificación de usuario (únicamente de sesión)
  3. Cookies de seguridad del usuario
  4. Cookies de sesión de reproductor multimedia
  5. Cookies de sesión para equilibrar la carga
  6. Cookies de personalización de la interfaz de usuario
  7. Determinadas Cookies de complemento (plug-in) para intercambiar contenidos sociales.

No obstante, la AEPD recomienda, por razones de transparencia, informar al menos con carácter genérico, de la utilización de este tipo de cookies técnicas (ejemplo práctico: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”).

Las claves de la Guía para el uso de las cookies: Transparencia, información y consentimiento

En el documento se recuerda, como ya anunciamos en artículos anteriores, que la información en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender la finalidad para la que se instalan y conocer los usos que se les darán, pero al mismo tiempo debe ofrecerse dicha información de forma concisa, transparente e inteligible.

No podrán utilizarse expresiones que induzcan a confusión

La AEPD cita varios ejemplos en este sentido:

  •  «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted» o «para mejorar su navegación»
  • «podemos utilizar sus datos personales para ofrecer servicios personalizadas».

¿Sigue siendo válida la opción de “seguir navegando” para la descarga de cookies?

Sí, pero con matices: para que la acción de continuar con la navegación pueda considerarse un consentimiento válido, el aviso deberá insertarse en un lugar claramente visible, que no pueda pasar desapercibido para el usuario, de modo que por su forma, color, tamaño o ubicación pueda existir una razonable seguridad de que el usuario ha visto el anuncio, y será necesario, para que el consentimiento se considere otorgado, que el usuario realice una acción que pueda calificarse como una clara acción afirmativa.

En este sentido, la AEPD propone varios ejemplos de “acción afirmativa” válida como  consentimiento para la descarga de cookies, tales como navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa (aviso de cookies) o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación.

Por lo tanto, la instalación de cookies no podrá realizarse hasta que el usuario lleve a cabo una clara acción afirmativa de las indicadas que implique su consentimiento. Esta opción de consentimiento de seguir navegando será incompatible con la inclusión en el banner de botones de aceptación, tal y como destaca la nueva Guía.

El panel de configuración, clave para el consentimiento

La Guía sobre el uso de las Cookies especifica además que será necesario que la información de la primera capa se complete con un documento o panel de configuración en el que el usuario pueda optar entre habilitar o no las cookies de forma granular. Dicho panel podrá integrarse en la segunda capa informativa.

Para facilitar la selección, deberá implementarse un botón para habilitar todas las cookies y otro para rechazarlas todas, siendo esta opción recomendable cuanto mayor sea el número distinto de cookies que se utilicen.

El grado de granularidad a la hora de mostrar la selección de cookies deberá valorarlo el editor del sitio web. Si bien es aconsejable que se tengan en cuenta las siguientes reglas:

  • Como mínimo deberían agruparse las cookies por su finalidad (por ejemplo, el usuario podría elegir habilitar las cookies analíticas y no así las publicitarias).
  • Dentro de cada finalidad, y a elección del editor del sitio web, podrían agruparse las cookies en función del tercero que las instala. (por ejemplo, el usuario podría elegir habilitar las cookies analíticas de un determinado titular y no así las de otro)
  • En relación con las cookies de terceros es suficiente con identificarlos por su nombre (marca comercial) sin incluir la denominación social completa.
  • Debe evitarse el grado máximo de granularidad (selección cookie a cookie), ya que el exceso de información dificulta la toma de decisiones.

Ejemplos prácticos sobre la segunda capa de información: la Política de Cookies

La AEPD ofrece además en la nueva Guía ejemplos de cómo mostrar la información sobre

  1. Definición y función genérica de las cookies
  2. la Información sobre el tipo de cookies que se utilizan y su finalidad
  3. Identificación de quién utiliza las cookies
  4. Información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies
  5. Información sobre las transferencias de datos a terceros países realizadas por el editor

Ejemplo de tipos de cookies y su finalidad:

¿Qué tipos de cookies se utilizan en esta página web?

  • De análisis: son aquellas que, tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.
  • Publicitarias comportamentales: son aquellas que, tratadas por nosotros o por terceros, nos permiten analizar sus hábitos de navegación en Internet para que podamos mostrarle publicidad relacionada con su perfil de navegación.

En cuanto a la vigencia de esta nueva Guía, hemos de tener en cuenta que la versión anterior fue publicada en el año 2013, por lo que deberemos adaptar nuestros sitios web a las pautas marcadas por la AEPD.

No obstante, es importante tener en cuenta que actualmente, están avanzando las negociaciones sobre la propuesta Reglamento sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas (ePrivacy) que podría afectar a las cookies, aunque se desconocen fechas concretas para alcanzar un acuerdo definitivo sobre la redacción final de esta norma.

El equipo de Letslaw seguirá informando sobre todas las novedades y cambios normativos e interpretativos que puedan surgir en esta materia.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram