INFORMACIÓN SOBRE USO DE COOKIES
La utilización de cookies conlleva el tratamiento de datos personales, por tanto, deberán asegurar el cumplimiento de la normativa de protección de datos.
Atendiendo al apartado segundo del art. 22 de la LSSI
“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”
Por tanto, están excluidas de estas obligaciones, las cookies utilizadas para una de estas finalidades:
- Permitir únicamente la comunicación entre el equipo del usuario y la red.
- Estrictamente prestar un servicio expresamente solicitado por el usuario.
Atendiendo al Dictamen 4/2012 del GT29, interpreto que entre las cookies exceptuadas estarían aquellas que tienen por finalidad:
- -Cookies de “entrada del usuario”
- -Cookies de autenticación o identificación de usuario (únicamente de sesión)
- -Cookies de seguridad del usuario
- -Cookies de sesión de reproductor multimedia.
- -Cookies de sesión para equilibrar la carga.
- -Cookies de personalización de la interfaz de usuario.
- -Determinadas cookies de complemento (plug-in) para intercambiar contenidos sociales.
Referente a este tipo de cookies no sería necesario obtener el consentimiento del usuario. Por transparencia, se recomienda informar de ellas en la política de cookies (ejemplo: “este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”) Por el contrario, será necesario informar y recabar el consentimiento para la utilización de cualquier otro tipo de cookies, tanto de primera como de tercera parte, de sesión o persistentes. Este articulo mencionado se refiere a la utilización de cookies así como tecnologías similares utilizadas para almacenar y recuperar datos de un equipo terminal. La citada norma también resulta de aplicación al empleo de técnicas de fingerprinting, es decir, a las técnicas de toma de la huella digital.
De la misma manera, hay que tener en cuenta que una misma cookie puede tener más de una finalidad (cookies polivalentes) por lo que existe la posibilidad de que una cookie quede exceptuada del ámbito de aplicación del art. 22.2 de la LSSI para una o varias de sus finalidades y no para otras, quedando estás últimas sujetas al ámbito de aplicación del este precepto.
TIPO DE COOKIES ATENDIENDO A LA ENTIDAD QUE LAS GESTIONA
- Cookies propias: son aquellas de las que es responsable el propio editor y que, generalmente, se envían al equipo terminal del usuario desde un equipo o dominiogestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.
- b)Cookies de tercero: son aquellas de las que es responsable una entidad distinta del editor y que, generalmente, se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos a través de las cookies.
TIPOS DE COOKIES SEGÚN SU FINALIDAD
Según la finalidad para la que se traten los datos obtenidos a través de las cookies, algunas de las finalidades pueden ser:
- Cookies técnicas: son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, gestionar el pago, controlar el fraude vinculado a la seguridad del servicio, realizar la solicitud de inscripción o participación en un evento, contar visitas a efectos de la facturación de licencias del software con el que funciona el servicio (sitio web, plataforma o aplicación), utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de vídeos o sonido, habilitar contenidos dinámicos (por ejemplo, animación de carga de un texto o imagen) o compartir contenidos a través de redes sociales. También pertenecen a esta categoría, por su naturaleza técnica, aquellas cookies que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, como un elemento más de diseño o “maquetación” del servicio ofrecido al usuario, el editor haya incluido en una página web, aplicación o plataforma en base a criterios como el contenido editado, sin que se recopile información de los usuarios con fines distintos, como puede ser personalizar ese contenido publicitario u otros contenidos. Las cookies técnicas estarán exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI cuando permitan prestar el servicio solicitado por el usuario, como ocurre en el caso de las cookies enumeradas en los párrafos anteriores. Sin embargo, si estas cookies se utilizan también para finalidades noexentas (por ejemplo, para fines publicitarios comportamentales), quedarán sujetas a dichas obligaciones
- Cookies de preferencias o personalización: son aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio, etc. Si es el propio usuario quien elige esas características (por ejemplo, si selecciona el idioma de un sitio web clicando en el icono de la bandera del país correspondiente, la moneda que desea utilizar en las transacciones, el tamaño de fuente o el contraste de color entre el fondo y el contenido para mejorar la legibilidad), las cookies estarán exceptuadas de las obligaciones del artículo 22.2 de la LSSI por considerarse un servicio expresamente solicitado por el usuario, y ello siempre y cuando las cookies obedezcan exclusivamente a la finalidad seleccionada. Estas cookies de preferencias que afectan a la interfaz de usuario no necesariamente tendrán que ser de sesión, ya que solicitar que el usuario determine sus preferencias a estos efectos cada vez que se visita un sitio web o se accede a una aplicación puede resultar molesto y provocarle fatiga. Ahora bien, para que estas cookies se consideren exentas, su uso deberá limitarse al necesario para su propósito, y la información que pueda desprenderse de la selección del usuario no podrá emplearse para otros fines (por ejemplo, para la personalización de contenidos publicitarios) ni para elaborar un perfil del usuario.
- Cookies de análisis o medición: son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio. Respecto al tratamiento de datos recabados a través de las cookies de análisis, el GT29 manifestó que, a pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.
- d)Cookies de publicidad comportamental: son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo. En todo caso, debe tenerse en cuenta que estas tipologías se ofrecen a título orientativo por ser las más habituales. Los editores y los terceros podrán realizar las categorizaciones que consideren que mejor se ajustan a las finalidades de las cookies que utilizan, de forma que se respete el principio de transparencia frente a los usuarios.
TIPO DE COOKIES SEGÚN EL PLAZO DE TIEMPO QUE PERMANECEN ACTIVADAS
- Cookies de sesión: son aquellas diseñadas para recabar y almacenar datos mientras el usuario accede a una página web. Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (por ejemplo, una lista de productos adquiridos) y desaparecen al terminar la sesión.
- Cookies persistentes: son aquellas en las que los datos siguen almacenados en elterminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.
Cuando se instalen cookies persistentes, se recomienda reducir al mínimo necesario su duración temporal atendiendo a la finalidad de su uso.
QUE INFORMACIÓN SE DEBE FACILITAR AL USUARIO
La información debe ser clara y completa de tal manera que permita a los usuarios entender las finalidades y el uso que se les dará en el momento de solicitar el consentimiento. Así como identificar a quien utiliza las cookies, si son tratadas solo por el editor y/o también por terceros, con identificación de estos últimos.
EJEMPLO:
¿Qué tipos de cookies se utilizan en esta página web?
• Cookies de análisis: son aquellas que, tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.
• Cookies publicitarias comportamentales: son aquellas que, tratadas por nosotros o por terceros, nos permiten analizar sus hábitos de navegación en Internet para que podamos mostrarle publicidad relacionada con su perfil de navegación.
En el caso de que no fuera posible para el editor ofrecer una explicación suficiente sobre la finalidad de las cookies utilizadas por terceros o la forma de eliminarlas, puede facilitar esta información incluyendo un enlace a la página web del tercero. Si el sistema de gestión o configuración de las cookies del editor no permite evitar la utilización de las cookies de terceros una vez aceptadas por el usuario, se facilitará información sobre las herramientas proporcionadas por el navegador y los terceros y se deberá advertir que, si el usuario acepta cookies de terceros y posteriormente desea eliminarlas, deberá hacerlo desde su propio navegador o el sistema habilitado por los terceros para ello. A estos efectos, y sin perjuicio de tener que disponer del correspondiente sistema de gestión o configuración de cookies según se indica en el párrafo anterior, se podrá facilitar adicionalmente la siguiente información: “Tenga en cuenta que, si acepta las cookies de terceros, deberá eliminarlas desde las opciones del navegador o desde el sistema ofrecido por el propio tercero”.
De la misma manera habría que informar, si fuese el caso de las transferencias de datos a terceros países, en este caso habría que especificar el artículo del RGPD que permite la transferencia.
Se debe utilizar un lenguaje claro y sencillo, no serían válidas, por ejemplo, frases como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias comportamentales.También deben evitarse términos como “puede”, “podría”, “algún”, “a menudo”, y “posible”
La información debe ser de fácil acceso, el usuario no debe buscar la información, sino que debe ser evidente dónde y cómo acceder a ella. Se debe proporcionar un enlace claramente visible que dirija a la información bajo un término de uso común como “política de cookies” o “cookies”
Además, en el caso de que un usuario preste su consentimiento para el uso de cookies, la información debe seguir siendo fácilmente accesible en la página o en la aplicación. Es aconsejable que la información relativa a la forma a través de la cual gestionar las cookies (incluyendo cómo revocar el consentimiento y eliminar las cookies) esté a su disposición de forma accesible y permanente en todo momento a través de la página web, aplicación o servicio en línea de que se trate.
INFORMACIÓN POR CAPAS
De tal manera que la información esencial se muestre en una primera capa, cuando se accede a la página o aplicación y completarla en una segunda capa mediante una página en la que se ofrezca información más detallada.
La primera capa, se podrá identificar bajo un término de uso común (ejemplo “cookies”) se deberá de incluir la siguiente información:
- Identificación del editor responsable del sitio web. No será necesario la denominación social.
- Identificación de las finalidades de las cookies.
- Información sobre si las cookies son propias (responsable de la web) o de terceros, sin que sea necesario identificar a los terceos en esta primera capa.
- Información sobre los tipos de datos que se van a recopilar en caso de que se elaboren perfiles de usuarios (ejemplo, cookies de publicidad comportamental)
- Modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies.
- Enlace claramente visible dirigido a una segunda capa, utilizando, por ejemplo,términos como “más información, pulsa aquí”, “política de cookies” o similar. El panel de configuración podrá estar integrado en esta segunda capa, siempre que, al facilitar el acceso al mismo, ese acceso sea directo, es decir que el usuario no tenga que navegar por esa segunda capa para localizarlo.
Esta información, se facilitará antes del uso de las cookies, incluida en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.
Por tanto, en esta primera capa, debe contener;
- Un botón o mecanismo equivalente, de aceptar para consentir el uso de las cookies.
- Un botón o mecanismo equivalente, similar al anterior para rechazar el uso de cookies
- Un botón o mecanismo equivalente, no es necesario que sea igual a los anteriores, que nos lleve a un panel de configuración que permita aceptar o rechazar las cookies de forma granular, al menos en función de su finalidad.
En referencia a estos mecanismos, no podrán dar al usuario la impresión de que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web, el color o contraste del texto y los botones no podrán ser engañosos para los usuarios, de forma que lleve a un consentimiento involuntario (por ejemplo “aceptar” en verde fosforito y “rechazar” y “configurar” en colores más suaves).
EJEMPLO 2:
Cookies
Utilizamos cookies propias y de terceros para analizar el uso del sitio web y mostrarte publicidad relacionada con tus preferencias sobre la base de un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Más información. ¿Aceptas las cookies?
NO SI
Si no se pulsa el botón “Sí”, el usuario no está autorizando el uso de cookies (por lo tanto, no está legitimado el uso de cookies si el usuario no pulsa el botón para aceptar cookies y simplemente continúa navegando)
En el panel de configuración debe indicarse o desprenderse claramente cómo guardar la selección realizada por el usuario. A estos efectos, sería válido por ejemplo un botón con el texto “Guardar selección”, “Guardar configuración” o textos similares. Para facilitar la selección, en el panel podrán además implementarse dos botones, uno para seleccionar todas las categorías de cookies y otro para rechazarlas todas si el usuario las ha seleccionado previamente, siendo esta opción recomendable cuanto mayor sea el número distinto de categorías en las que se hayan clasificado las cookies. Si el usuario guarda su elección sin haber seleccionado ninguna cookie, equivaldrá al rechazo de todas las cookies. Debe recordarse que en ningún caso son admisibles las opciones premarcadas a favor de aceptar cookies para obtener un consentimiento válido.
En este panel de configuración, se deben de tener en cuenta las siguientes cuestiones;
- -Se deberán de agrupar al menos por su finalidad.
- -Dentro de cada finalidad, podrán agruparse también en función del tercero responsable de las mismas.
- -En relación a las cookies de terceros, será suficiente con identificarlos por su nombre comercial.
- Se debe evitar la selección cookie a cookie, ya que un exceso de información puede dificultar la toma de decisiones.
ACTUALIZACIÓN DEL CONSENTIMIENTO
Se considera una buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a dos años y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.
RETIRADA DEL CONSENTIMIENTO
Los usuarios podrán retirar el consentimiento prestado en cualquier momento, para ello el usuario debe tener acceso sencillo y permanente al sistema de configuración de las cookies.
POSIBILIDAD DE DENEGACIÓN DE ACCESO AL SERVICIO EN CASO DE RECHAZO DE COOKIES
Para que el consentimiento sea libre, el acceso a los servicios y funcionalidades no debe supeditarse a la aceptación por el usuario del uso de cookies. Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies.