Guía de la Agencia Española de Datos sobre el uso de las Cookies

La Agencia Española de Protección de Datos ha diseñado una nueva guía para aportar soluciones a los posibles problemas en materia de privacidad y uso de las cookies.

Alcance de la normativa

En todo momento debemos tener en consideración el artículo 22 de la LSSI como base de las orientaciones que la guía establece. Así pues, todas las soluciones aportadas serán aplicables a los supuestos que resulte aplicable el apartado segundo de este artículo. En especial, en el artículo se menciona la utilización de las cookies y tecnologías similares para almacenar y recuperar datos de un equipo terminal como también a las técnicas de toma de la huella digital del dispositivo.

Ahora bien, quedan excluidas del cumplimiento de las obligaciones del artículo 22.2 LSSI los siguientes tipos de cookies:   

  • De “entrada del usuario”
  • De autenticación o identificación de usuario
  • De seguridad del usuario
  • De sesión de reproductor multimedia
  • De sesión para equilibrar la carga
  • De personalización de la interfaz de usuario
  • Determinadas cookies de complemento (plug-in) para intercambiar contenidos sociales

Terminología y definiciones

Las cookies son entendidas según la LSSI como cualquier tipo de dispositivo de almacenamiento y recuperación de datos que se utilice en el equipo terminal de un usuario con la finalidad de almacenar información y recuperar la información ya almacenada.

CLASIFICACIONES

  • Según la entidad que las gestione:
    • Cookies propias: aquellas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.
    • Cookies de terceros: aquellas que se envían al equipo termina del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos a través de las cookies.
  • Según su finalidad:
    • Cookies técnicas: son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan. Por ejemplo, permiten controlar el tráfico y la comunicación de datos.
    • Cookies de preferencias o personalización: son aquellas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario. Por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, etc.
    • Cookies de análisis o medición: permiten a su responsable el seguimiento y análisis de la actividad de los usuarios de los sitios web a los que están vinculadas. La información recogida es utilizada en la medición de la actividad de los sitios web o en la elaboración de perfiles, entre otros usos.
    • Cookies de publicidad comportamental: son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación de manera que permite desarrollar un perfil específico para mostrar publicidad en función de este.
  • Según el plazo de tiempo que permanecen activadas:
    • Cookies de sesión: son aquellas diseñadas para recabar y almacenar datos mientras el usuario accede a una página web. Principalmente, se utilizan para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión y desaparecen al terminar la sesión.
    • Cookies persistentes: son aquellas en las que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

Obligaciones

Las obligaciones legales que la normativa establece son dos, la obligación de transparencia y la de obtención del consentimiento.

OBLIGACIÓN DE TRANSPARENCIA

Se trata de una obligación establece la necesidad de facilitar a los usuarios una información clara y completa sobre los usos que se darán a las cookies, sobre la finalidad del tratamiento y sobre el procedimiento para revocar el consentimiento y eliminar las cookies. Por tanto, en el caso de que se utilicen cookies en una página web, se deberá de añadir la información siguiente:

  • Definición y función genérica de las cookies
  • Información sobre el tipo de cookies que se utilizan y su finalidad
  • Identificación de quién utiliza las cookies
  • Información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies
  • Información sobre las transferencias de datos a terceros países realizadas por el editor (si procede)
  • Informe sobre la lógica utilizada, la importancia y las consecuencias previstas cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar.
  • Periodo de conservación
  • En relación con el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies el editor podrá remitirse a la política de privacidad

Es importante, además, tener en cuenta cómo debe mostrarse dicha información de manera que debe cumplir unos requisitos específicos:

  • La información o comunicación debe ser concisa, transparente e inteligible
  • Se ha de utilizar un lenguaje claro y sencillo, evitando el uso de frases que lleven a confusión o desvirtúen la claridad del mensaje
  • La información ha de ser de fácil acceso

Sin embargo, alineada con la normativa de protección de datos, también se recomienda la información por capas cosa que implica distribuir la información por niveles permitiendo al usuario ir a aquellos aspectos de la declaración o aviso que sean de mayor interés para él evitando la fatiga informativa.

Por tanto, distinguimos entre dos capas:

  • Primera capa: incorpora..  
    • Advertencia del uso de cookies no exceptuadas
    • Advertencia de que se instalan al navegador por dicha página o al utilizar el servicio
    • Identificación de las finalidades de las cookies que se instalan
    • Información sobre cookies propias o de terceros
    • Advertencia de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies (si procede)
    • Enlace a una segunda capa informativa en la que se incluye una información más detallada
  • Segunda capa: incorpora…
    • Definición y función de las cookies
    • Cuadro listado con el tipo de cookies que utiliza la página web y su finalidad
    • Forma de desactivar o eliminar las cookies y revocar el consentimiento prestado
    • Identificación de los responsables de las cookies y del tratamiento de los datos obtenidos

OBLIGACIÓN DEL CONSENTIMIENTO

Las modalidades de obtención del consentimiento son diversas. En general tendremos las siguientes posibilidades:

  • Al solicitar el alta en un servicio y aceptar los términos y condiciones
  • Durante el proceso de configuración del funcionamiento de la página web o aplicación
  • Al solicitar una nueva función ofrecida en la página web o aplicación
  • Antes de la descarga de un servicio o aplicación ofrecido en la página web
  • A través de formato de información en dos capas
  • A través de la configuración del navegador

Es necesario tener en cuenta que los sitios web o servicios en línea específicamente dirigidos a menores deben de adoptar cautelas adicionales como una mayor sencillez y claridad en el lenguaje empleado.

Responsabilidad de las partes en la utilización de las Cookies 

Es necesario que aquellos sujetos que participan en la utilización de las cookies colaboren para asegurar el cumplimiento de las exigencias legales establecidas. Así pues, debemos distinguir dos situaciones en la gestión de las cookies y en el tratamiento de los datos obtenidos en función de la finalidad para la que se tratan los datos que se obtienen a través de la utilización de las cookies:

1.-El editor o los terceros utilizan las cookies para finalidades exceptuadas de las obligaciones de informar y de obtener el consentimiento:

Son aquellos casos en que un editor ofrece a los usuarios un servicio y todas las cookies utilizadas desde una página web se utilizan exclusivamente para finalidades para las que no es necesario obtener el consentimiento. En este caso, no será necesario que se informe de su utilización ni que se obtenga el consentimiento.

No obstante, en los casos que se empleen cookies de terceros para la prestación del servicio solicitado por el usuario se deberá establecer contractualmente con aquellas entidades con las que contrae directamente que estas no tratan los datos con ninguna otra finalidad que no sea la prestar el servicio al usuario.

2.-El editor o los terceros utilizan las cookies para finalidades no exceptuadas de las obligaciones de informar y obtener el consentimiento:

Debemos diferenciar entre si se usan cookies propias o de terceros. En los casos en que el editor a través de la utilización de cookies propias trate los datos para alguna de las finalidades que no están exceptuadas, será necesario que informe sobre las finalidades para las se tratarán los datos y obtenga el consentimiento del usuario, a través de alguna de las formas establecidas en la citada guía.

Ahora bien, cuando se empleen cookies de terceros para alguna o algunas de las finalidades no exentas, tanto el editor como las otras entidades intervinientes en la gestión de las cookies tendrán la responsabilidad de garantizar que los usuarios están claramente informados y de obtener el preceptivo consentimiento.