La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, “LSSI”) se refiere a las cookies como “dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios”. Estos dispositivos almacenan datos que podrán ser actualizados y recuperados por las entidades responsables de la instalación.
Las condiciones bajo las que la LSSI permite la utilización de las cookies son: que el usuario haya dado su consentimiento después de haber obtenido una información clara y completa sobre el uso y los fines de las mismas.
Además, la LSSI deriva a la regulación de la normativa en materia de protección de datos, estas son RGPD y LOPDGDD, para todo lo relacionado con el consentimiento y el deber de informar.
A partir de la normativa aplicable anteriormente mencionada, se pueden extraer las siguientes conclusiones:
¿Puede una cookie instalarse en los equipos de los usuarios sin su conocimiento?
No todas las cookies deben de cumplir con todas las exigencias de la normativa aplicable. La LSSI contempla la posibilidad de que ciertas cookies queden exceptuadas de entrar dentro de su ámbito de aplicación, siendo tales las siguientes:
- Aquellas que tienen como finalidad permitir la comunicación del equipo del usuario y la red;
- Aquellas que tienen la finalidad de prestar un servicio que ha sido solicitado de forma expresa por el usuario.
Así, el Grupo de Trabajo del Artículo 29 considera dentro de éstas excepciones, siempre y cuando se contemple un plazo de conservación concreto en relación con su finalidad y los datos recabados no se utilicen para otros fines distintos, las siguientes cookies:
- De entrada del usuario
- De autenticación o identificación del usuario para el inicio de sesión;
- De seguridad del usuario;
- De sesión para equilibrar la carga;
- De personalización de la interfaz de usuario;
- De complemento para intercambiar contenidos sociales, de reproductor multimedia.
De esta forma, siempre que el prestador del servicio no se encuentre estas cookies le será de aplicación la normativa mencionada.
El deber de información
El prestador del servicio tiene la obligación de informar de forma clara y concreta al usuario para que tenga la suficiente información a la hora de decidir aceptar o no las cookies.
El artículo 13 del RGPD recoge toda la información que el prestador del servicio deberá de transmitir a los usuarios, siendo el contenido mínimo:
- La identidad del responsable y la existencia de terceros beneficiarios;
- Finalidad que se persigue: analíticas, técnicas, publicitarias y elaboración de perfiles y así como cualquier otra;
- Tipos de datos que se recaben, se deberán utilizar expresiones claras que reflejen de una forma clara que se elaborar perfiles y se monitorizan los hábitos de navegación.
En el supuesto de que se elija un sistema de doble capa para informar a los usuarios, el contenido mínimo mencionado deberá de situarse en la primera capa, dejando el resto de información accesible al usuario mediante un enlace a la segunda capa.
La Agencia Española de Protección de Datos (en adelante, “AEPD”) en su “10ª Sesión Anual Abierta de la AEPD, Teatros del Canal-Sala Roja. 4 de junio de 2018”, alerta de la necesidad de excluir información que provoque confusión o desvirtúe la claridad del mensaje, recogiendo como ejemplos los siguientes mensajes: “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación o similares”.
Además de informar a los usuarios antes de tomar la decisión de consentir o no, el prestador del servicio deberá poner a disposición de éstos toda la información anteriormente mencionada y la forma de gestionar las cookies, de forma permanente y fácilmente accesible.
La obtención del consentimiento
El RGPD define el consentimiento como “toda manifestación de voluntad libre, especifica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
En el caso del tratamiento de cookies el consentimiento será válido cuando el usuario lo preste bajo las condiciones recogidas en la definición del RGPD. Además, el prestador del servicio deberá conservar la prueba del mismo. Así, es posible prestar este consentimiento:
- Mediante un click o de una conducta similar;
- Mediante algún tipo de acción consciente y positiva. En este supuesto cobra mayor importancia el deber de informar de forma clara y concreta al usuario para que el consentimiento sea válido.
El usuario podrá negarse a aceptar las cookies incluso si esta negativa tiene como consecuencia la limitación del acceso a ciertos aspectos o la totalidad de la página web.
La AEPD recoge en su “Guía sobre el uso de Cookies” las siguiente modalidades de obtención del consentimiento:
- “A través de la aceptación de los términos y condiciones de uso de la página web o de la política de privacidad al solicitar el usuario el alta en un servicio;
- Durante el proceso de configuración del funcionamiento de la página web o aplicación;
- En el momento en el que se solicite una nueva función ofrecida en la página web o aplicación;
- Antes del momento en que se vaya a descargar un servicio o aplicación ofrecidos en la página web,
- A través del formato de información por capas;
- A través de la configuración del navegador”.
En la práctica, el sistema más utilizado para obtener el consentimiento es el formato de información por capas. Pero que sea el sistema más utilizado no conlleva que se esté aplicando debidamente.
Retirada del consentimiento
El usuario deberá de tener a su disposición la posibilidad de retirar su consentimiento para el tratamiento de cookies. El RGPD recoge que deberá ser tan fácil retirar el consentimiento como darlo. El prestador del servicio deberá de informar adecuadamente de éste extremo en la segunda capa.
Nada impide al prestador del servicio informar al usuario de las consecuencias resultantes de prescindir de estas funcionalidades. Incluso, estas consecuencias podrían llegar hasta el extremo de imposibilitar al usuario la utilización total o parcial del sitio web. Para ello, sería requisito imprescindible que el prestador haya informado previamente.
¿Cuál es la forma adecuada de obtener el consentimiento del usuario por capas?
Cuando se ofrece la información al usuario por capas se le permite tener de una forma inmediata un resumen del tratamiento que se pretende hacer sobre sus datos personales con la inclusión de un enlace a una segunda capa que contendrá la información detallada que recoge el artículo 13 del RGPD.
En ésta primera capa, además de la información mencionada, el prestado del servicio deberá de proporcionar alguna de las siguientes opciones al usuario:
- Opción 1: Aceptar las cookies / Rechazar las cookies / Configurar las cookies (incluyendo en ésta el enlace a la segunda capa)
- Opción 2: Aceptar las cookies / Configurar las cookies (incluyendo en ésta el enlace a la segunda capa). En ésta opción se deberá de especificar que se puede rechazar las cookies accediendo a la configuración de las mismas.
La AEPD confirma que si el usuario no realiza ninguna acción afirmativa aceptando o rechazando las cookies pero sigue navegando por el sitio web, se podrá considerar que éste ha prestado su consentimiento. Sólo sería válido este tipo de consentimiento si se refuerza la información ofrecida sobre las cookies en el momento de tomar la decisión, incluyéndose la información relativa a esta posibilidad.
Sería recomendable realizar una revisión periódica sobre el uso de cookies que se está prestando. En ocasiones, podría ser beneficioso usar ciertas cookies para reducir el riesgo sobre el tratamiento de datos personales de los usuarios, tales como las cookies de sesión. Pero en todo caso, será crucial para proteger este tratamiento que se establezcan plazos de conservación con una duración determinada en relación con la finalidad que presten las cookies.
¿Te ha gustado este artículo?
SUSCRÍBETE A NUESTRA NUEVA NEWSLETTER
Hemos creado para ti una selección de contenidos para que los recibas cómodamente en tu correo electrónico. Descubre nuestro nuevo servicio.