Comparte

Con la publicación de la guía de cookies por parte de la AEPD en 2020 , se generó un pequeño terremoto en el mundo online. Los responsables de las páginas webs y aplicaciones, se vieron obligados a comprobar si sus páginas webs y aplicaciones cumplirían con los criterios exigidos.

A pesar de que ya han pasado casi dos años desde la entrada en vigor de esta guía, muchas páginas web siguen siendo sancionadas por no haber actualizado sus políticas de cookies. Se acompañan enlaces a algunos procedimientos sancionadores de los últimos meses que así lo atestiguan (PS/00438/2021, PS/00404/2021 o PS/00482/2021). 

Desde Computer-3| Softwariza3 queremos ofreceros unas pautas que os ayudarán a adaptar vuestras páginas web y así, cumplir con los requisitos marcados por la AEPD .

¿Qué debo tener en cuenta para adaptar mi web a las nuevas exigencias de la AEPD? 

1. INFORMACIÓN Y TRANSPARENCIA SOBRE LAS COOKIES

La guía de la AEPD le da mucha importancia a la transparencia y a la información que se debe facilitar sobre las cookies. Las personas usuarias han de acceder de una manera fácil y sencilla, con un lenguaje claro y sin tecnicismos, a la información sobre las cookies. Se aconseja el uso de un sistema de información por capas.  

a) Primera capa informativa

En una primera capa informativa, (“banner de cookies” que aparece en el momento que se accede a cualquier web) se deberá incluir como mínimo;

  • Identidad del editor del sitio web. Bastaría con el nombre o marca comercial, siempre y cuando los datos fiscales consten en el aviso legal de la web o en la segunda capa informativa) 
  • Las finalidades para las que se van a emplear las cookies. 
  • Informar si las cookies que se van a instalar son propias del editor o son también cookies de terceros. 
  • Informar sobre el tipo de datos utilizados, especialmente si tienen finalidad publicitaria o de perfilado. 
  • Breve explicación de cómo la persona podrá consentir o rechazar el uso de las cookies. Dando la posibilidad al acceso a un panel de configuración de cookies o un Consent Management Platform (CMP). Así, podrá configurar qué cookies desea instalar en su dispositivo, aceptarlas todas o rechazarlas todas, de manera previa a la aceptación de la política de cookies. 
  • Inclusión de un enlace claramente visible a una segunda capa informativa. Tiene que facilitar una información más detallada de las cookies empleadas por el sitio web. 
Ejemplo válido de información de cookies de una web en la primera capa

b) Segunda capa informativa

La segunda capa informativa debe incluir una información mucho más detallada sobre las cookies de la web, teniendo en cuenta los siguientes puntos:

  • Definición y función genérica de las cookies. 
  • Información sobre el tipo concreto de cookie que se usa en el sitio web y la finalidad que persigue. 
  • Detalles a cerca de la forma de aceptar, denegar o revocar el consentimiento prestado en la primera capa. Se detallará también cómo eliminar las cookies del dispositivo. 
  • Información sobre las transferencias internacionales de datos que pueda realizar el editor del sitio web o de la aplicación móvil. 
  • En caso de que se elaboren perfiles de la persona usuaria, se deberá informar sobre la lógica empleada para la generación del perfil y de la importancia que puedan tener las consecuencias previstas en caso de que este perfilado implique una toma de decisiones automatizadas que tenga consecuencias jurídicas para las personas usuarias o les puedan afectar negativamente. 
  • Información sobre el período de conservación de los datos personales que se puedan llegar a tratar. 
  • Incluir el resto de información exigida por el artículo 13 del RGPD. Se podrá incluir mediante una remisión de los interesados a la política de privacidad de la entidad. 

La AEPD recomienda que la información de ambas capas informativas sea lo más breve y sucinta posible para evitar la denominada “fatiga informativa». Debe evitarse el uso de expresiones confusas. Algunas de ellas serían “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”.

2. CONSENTIMIENTO DE LA PERSONA USUARIA 

La AEPD recuerda que el consentimiento para la instalación de cookies debe cumplir con los requisitos establecidos en el artículo 4 del RGPD. Se trata de una acción claramente afirmativa de la persona usuaria en plena conciencia de las consecuencias de dicha acción.   

No se considera válido como consentimiento la inacción de la persona usuario. Se recomienda la configuración del aviso inicial para que no se pueda acceder a ninguna otro contenido hasta que se gestione sus preferencias de cookies. Por ello, debe implementase un sistema que permita aceptar de manera granular las cookies que se puedan utilizar en sitio web o aplicación.   

Tal y como se expuso anteriormente, la persona usuaria debe acceder a un configurador de cookies o Consent Management Platform. En el, ha de configurar las cookies que desea instalar en su dispositivo en función de la finalidad que persiga la cookie, de manera previa a aceptar la política de cookies del sitio web. 

La AEPD exige que se les facilite a las personas usuarias la posibilidad de rechazar todas las cookies del sitio web de una manera sencilla. Puede ser través de un botón u opción específica para ello, de manera que sea tan fácil otorgar el consentimiento como retirarlo. 

Hay facilitar la posibilidad de guardar la elección de cookies que ha decido instalar en su dispositivo, indicando expresamente que, si la persona usuaria guarda su elección sin haber seleccionado ninguna cookie, esto equivaldrá al rechazo de todas cookies del sitio web. 

En definitiva, no se debe instalar de ningún tipo de cookie no necesaria si la persona usuaria no ha dado previamente su consentimiento explícito. 

3. COOKIES EXENTAS DE CONSENTIMIENTO 

La AEPD establece, en su guía, el alcance exacto del Art. 22.2 de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE) según el cual solamente podrán ser utilizadas sin el consentimiento informado de la persona usuaria las cookies denominadas “técnicas”, dentro de las que se incluirían: 

  1. Las que se utilicen con el único fin de lleva a cabo la transmisión de una comunicación a través de una red de comunicaciones. 
  1. Las estrictamente necesarias para prestar un servicio que haya sido solicitado explícitamente. 

Estas serían aquellas imprescindibles y estrictamente necesarias para el correcto funcionamiento de un sitio web y para la utilización de las diferentes opciones que se ofrecen. Por ejemplo, las que sirven para el mantenimiento de la sesión, la gestión del tiempo de respuesta, rendimiento o validación de opciones.

A pesar de tratarse de cookies que se encuentran exentas de la necesidad de recabar el consentimiento de la persona usuaria, la AEPD recomienda que en todo momento se informe acerca de su uso por parte del sitio web o de la aplicación móvil, en cumplimiento del principio de transparencia e información que pretende vertebrar el mundo de las políticas de cookies. 

4. DENEGACIÓN DE ACCESO AL SERVICIO EN CASO DE RECHAZO DE LAS COOKIES (MURO DE COOKIES) 

La AEPD en su guía expone que no podrá condicionarse el acceso a un sitio web o acceso a servicios ofrecidos en el mismo a la aceptación de la instalación de las mismas.  

El acceso a los servicios y funcionalidades de un sitio web no puede supeditarse a la aceptación por parte de la persona usuaria del uso “obligatorio” de las cookies del sitio. Por ello, no podrán emplearse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento, especialmente en los casos en los que se impida ejercer un derecho legalmente reconocido a la persona usuaria, por ser, por ejemplo, el acceso a un sitio web el único medio facilitado para poder ejercitar tal derecho. 

No obstante, podrán existir determinados supuestos en los que la no aceptación de las cookies impida el acceso al sitio web de la persona usuaria, siempre que se informe adecuadamente al respecto a la persona usuaria y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. En este supuesto los servicios de ambas alternativas deberán ser equivalentes, sin ser válido que el servicio equivalente lo ofrezca una entidad diferente al titular del sitio web. 

5. BUENAS PRÁCTICAS A TENER EN CUENTA EN EL USO DE COOKIES 

Como buenas prácticas la AEPD recomienda el uso preferente de cookies de sesión, siempre que sea posible, en vez de utilizar cookies persistentes. En el caso de ser preciso e indispensable el uso de cookies persistentes, se aconseja acotar su duración en el dispositivo de la persona usuaria al mínimo indispensable para alcanzar la finalidad de su uso. 

Igualmente, como buena práctica, en la guía de la AEPD, se recomienda que la validez del consentimiento que una persona usuaria haya otorgado para el uso de una determinada cookie no tenga una duración superior a dos años, debiendo volver a solicitarse el consentimiento explícito de la persona usuaria una vez trascurrido este lapso temporal. 

Como se explicó al inicio de este post estos nuevos criterios están generando una inquietud en la mayor parte de las organizaciones con web. Resulta primordial que se revise , lo antes posible, las políticas y avisos de cookies que se están empleando en la actualidad, analizando si se están cumpliendo con los requisitos exigidos para la instalación de cookies y, de este modo, evitar una posible sanción por incumplimientos al respecto.  Recuerda que en Computer-3|Softwariza3 podemos darte las recomendaciones y pautas necesarias para tener tu web adaptada a las nuevas exigencias ¡Contáctanos!

Que no se te atraganten las cookies. 

Comparte
Abrir chat
1
Hola, ¿en qué podemos ayudarte?