Cómo implementar correctamente la política de cookies (y evitar sanciones como la de Vueling)

En fechas recientes hemos asistido a una acumulación de resoluciones tanto de órganos administrativos como judiciales, en materia de cookies, recordando a distintas empresas como Vueling (el caso más conocido), Planet49, o ISGF, la necesidad de ofrecer a los usuarios un sistema de aceptación por capas para la instalación de este tipo de dispositivos, que incluya, entre otros aspectos, un sistema de gestión o panel de configuración de cookies, de forma que se permita al usuario eliminar estos dispositivos de forma granular.

Concretamente, el pasado 1 de octubre, el Tribunal de Justicia de la Unión Europea dictó sentencia en el caso seguido por parte de la Federación alemana de organizaciones y asociaciones de consumidores contra la empresa Planet 49, concluyendo que “el consentimiento (…) no se presta de manera válida cuando el almacenamiento de información o el acceso a la información ya almacenada en el equipo terminal del usuario de un sitio de Internet a través de cookies se autoriza mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento”.

Asimismo, el TJUE estableció que “(…) la información que el proveedor de servicios debe facilitar al usuario de un sitio de Internet incluye el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas”.

Qué son las cookies y para qué sirven

Por aportar algo de contexto: tal y como te explicamos en Qué son las cookies, consisten en pequeños archivos pensados para recopilar información que envía un sitio web y que quedan almacenadas en nuestro navegador, cuando navegamos por la página.

Estos textos encriptados se crean cuando el navegador de un usuario carga una página concreta. Esta página envía información al navegador y se genera el archivo de texto. Cada vez que el usuario regresa a la misma página, el navegador rescata este archivo y lo envía al servidor de la página. También aparecen en una misma página las de otras webs (cookies de terceros) que ofrecen anuncios en la URL que el usuario visita.

Las cookies están pensadas para:

1. Controlar el número de usuarios que navegan por la página: Cuando introducimos nuestro nombre de usuario y contraseña, estos quedan almacenados en una cookie. De esta manera, cada vez que abrimos una página del servidor no tenemos que volver a introducir estos datos. Hay que tener en cuenta que una cookie no identifica a una persona, sino a un ordenador-navegador-usuario.

2. Obtener información de los hábitos de navegación del usuario: Al sitio web le interesa saber las veces que hemos navegado por su página y la interacción que hemos tenido con ella.

La incorrecta implementación de la política de cookies cuesta a Vueling una sanción de 30.000 euros

<noiframe> <ul id="questions"> <li>¿Crees que las webs españolas cumplen con la normativa en materia de cookies?</li> <li>¿Qué opinas de las sanciones por incumplir la normativa, como la de Vueling?</li> <li>¿Cuál es tu postura acerca de las cookies?</li> </ul>   </noiframe>
Por su parte, la Agencia Española de Protección de Datos consideró en procedimientos sancionadores seguidos contra Vueling e I.S.G.F. que en el aviso y la política de cookies de estas empresas “no se ofrecía en ningún momento la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otra cookies”, indicando igualmente que “la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria” a ofrecer un panel de configuración “pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva”.

¿A qué sanciones nos podemos enfrentar por un incumplimiento de este tipo?

En el caso de Vueling, la sanción que se aplicó a esta empresa por parte de la Agencia Española de Protección de Datos fue de 30.000 Euros, mientras que en el caso de I.S.G.F. se limitó a un apercibimiento.

En este contexto, hay que tener en cuenta que este tipo de sanciones son aplicables a cualquier sitio web que pueda utilizar cookies de analítica y publicitarias, y que no cumplan con la normativa para la descarga de este tipo de dispositivos.

Cómo evitar sanciones relacionadas con el uso de cookies

1.Usa plugins

Desde Letslaw aconsejamos la utilización de plugins (como por ejemplo los ofrecidos por Quancast o Cookie Bot) que permitan a los usuarios la posibilidad de aceptar o rechazar las cookies agrupadas por categorías, incluyendo un Aviso de Cookies (banner) que favorezca una selección granular de las mismas de forma diferenciada.

2.Consentimiento explícito

Además, las cookies deberán ser descargadas sólo cuando el usuario haya aceptado su instalación mediante una acción positiva, de forma que no resultan válidas las fórmulas que impliquen un consentimiento tácito o por inacción (casillas pre-marcadas, o seguir navegando sin ofrecer al usuario la posibilidad de rechazar las cookies o configurar su instalación de forma granular).

Tampoco resultan válidas expresiones genéricas en el Aviso de Cookies en las que se indique que el uso de cookies tiene la finalidad de mejorar la experiencia de navegación del usuario.

3. Agrupa las cookies por categorías

Por otro lado, la segunda capa de información (lo que conocemos como Política de Cookies) deberá incluir información sobre las distintas categorías de cookies que se descargarán (analíticas, publicitarias, etc.), la caducidad de la cookie en el terminal del usuario, el proveedor o fabricante, así como su finalidad.

Nueva Guía sobre el uso de cookies por parte de la Agencia Española de Protección de Datos

En noviembre de 2019, la AEPD publicó una nueva guía para el uso de cookies, que facilitará a los titulares de sitios web una mejor comprensión del modo de proceder, y que analizamos en detalle desde Letslaw.

Las orientaciones ofrecidas por la AEPD deben tenerse en cuenta para su aplicación a todo tipo de cookies y tecnologías similares utilizadas para almacenar y recuperar datos, incluyendo tecnologías tales como local shared objects o flash cookies, web beacons o bugs, etc., así como técnicas de fingerprinting, es decir, técnicas de toma de la huella digital.

El documento indica que quedan excluidas del deber de obtener el consentimiento informado las siguientes categorías de cookies:

Cookies de «entrada del usuario»
Cookies de autenticación o identificación de usuario (únicamente de sesión)
Cookies de seguridad del usuario
Cookies de sesión de reproductor multimedia
Cookies de sesión para equilibrar la carga
Cookies de personalización de la interfaz de usuario
Determinadas Cookies de complemento (plug-in) para intercambiar contenidos sociales.

No obstante, la AEPD recomienda, por razones de transparencia, informar al menos con carácter genérico, de la utilización de este tipo de cookies técnicas (ejemplo práctico: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”).

En el documento se recuerda, como ya anunciamos en artículos anteriores, que la información en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender la finalidad para la que se instalan y conocer los usos que se les darán, pero al mismo tiempo debe ofrecerse dicha información de forma concisa, transparente e inteligible.

No podrán utilizarse expresiones que induzcan a confusión

La AEPD cita varios ejemplos en este sentido:

«usamos cookies para personalizar su contenido y crear una mejor experiencia para usted» o «para mejorar su navegación»
«podemos utilizar sus datos personales para ofrecer servicios personalizadas».

¿Sigue siendo válida la opción de “seguir navegando” para la descarga de cookies?

Sí, pero con matices: para que la acción de continuar con la navegación pueda considerarse un consentimiento válido, el aviso deberá insertarse en un lugar claramente visible, que no pueda pasar desapercibido para el usuario, de modo que por su forma, color, tamaño o ubicación pueda existir una razonable seguridad de que el usuario ha visto el anuncio, y será necesario, para que el consentimiento se considere otorgado, que el usuario realice una acción que pueda calificarse como una clara acción afirmativa.

En este sentido, la AEPD propone varios ejemplos de “acción afirmativa” válida como consentimiento para la descarga de cookies, tales como navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa (aviso de cookies) o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación.

Por lo tanto, la instalación de cookies no podrá realizarse hasta que el usuario lleve a cabo una clara acción afirmativa de las indicadas que implique su consentimiento. Esta opción de consentimiento de seguir navegando será incompatible con la inclusión en el banner de botones de aceptación, tal y como destaca la nueva Guía.

El panel de configuración, clave para el consentimiento

La Guía sobre el uso de las Cookies especifica además que será necesario que la información de la primera capa se complete con un documento o panel de configuración en el que el usuario pueda optar entre habilitar o no las cookies de forma granular. Dicho panel podrá integrarse en la segunda capa informativa.

Para facilitar la selección, deberá implementarse un botón para habilitar todas las cookies y otro para rechazarlas todas, siendo esta opción recomendable cuanto mayor sea el número distinto de cookies que se utilicen.

El grado de granularidad a la hora de mostrar la selección de cookies deberá valorarlo el editor del sitio web. Si bien es aconsejable que se tengan en cuenta las siguientes reglas:

Como mínimo deberían agruparse las cookies por su finalidad (por ejemplo, el usuario podría elegir habilitar las cookies analíticas y no así las publicitarias).
Dentro de cada finalidad, y a elección del editor del sitio web, podrían agruparse las cookies en función del tercero que las instala. (por ejemplo, el usuario podría elegir habilitar las cookies analíticas de un determinado titular y no así las de otro)
En relación con las cookies de terceros es suficiente con identificarlos por su nombre (marca comercial) sin incluir la denominación social completa.
Debe evitarse el grado máximo de granularidad (selección cookie a cookie), ya que el exceso de información dificulta la toma de decisiones.

Ejemplos prácticos sobre la segunda capa de información: la Política de Cookies

La AEPD ofrece además en la nueva Guía ejemplos de cómo mostrar la información sobre

Definición y función genérica de las cookies
la Información sobre el tipo de cookies que se utilizan y su finalidad
Identificación de quién utiliza las cookies
Información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies
Información sobre las transferencias de datos a terceros países realizadas por el editor

Ejemplo de tipos de cookies y su finalidad:

¿Qué tipos de cookies se utilizan en esta página web?

De análisis: son aquellas que, tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.

Publicitarias comportamentales: son aquellas que, tratadas por nosotros o por terceros, nos permiten analizar sus hábitos de navegación en Internet para que podamos mostrarle publicidad relacionada con su perfil de navegación.

¿Qué empresa trata sus datos?	Iniciativas Virtuales S.A.
¿Por qué tratamos los datos que le pedimos?	Tratamos sus datos para poder prestarle nuestros servicios y enviarle información sobre nuestros productos y servicios.
¿Cuál es la legitimación para este tratamiento de sus datos?	Estos datos son necesarios para llevar a cabo la prestación de los servicios que haya solicitado a través del Sitio Web.
¿Se van a hacer cesiones o transferencias con sus datos?	No, sus datos no serán objeto de cesiones a terceras empresas.
¿Se utilizarán sus datos para hacer perfilados o segmentaciones?	Iniciativas Virtuales S.A. podrá utilizar técnicas de profiling para poder ofrecerle publicidad acorde con sus intereses.
¿Tiene dudas?	Tanto si tiene alguna, o sugerencia, como si quiere darse de baja pángase en contacto con nosotros enviando un email a la siguiente dirección: redaccion@marketing4ecommerce.net