Política de cookies ¿estás actualizado?

 

Todos estamos acostumbrados al entrar a una página web que nos salte un banner en relación con las cookies, pero en los últimos meses este aviso es diferente ¿Cuáles son las nuevas obligaciones respecto al uso de cookies? El año pasado conocíamos las Directrices del Comité Europeo de Protección datos, sobre el consentimiento, donde se dictaminó que la opción “seguir navegando” no era un medio válido, pues podía generar confusión entre los usuarios. En cuanto al “muro de cookies”, conforme a las nuevas directrices la denegación de éstas no puede ser impedimento para que el usuario acceda al servicio, pues se le estaría denegando un derecho legalmente reconoció. Estos nuevos criterios, debieron ser implementados el 31 de octubre de 2020, estableciéndose así un periodo transitorio de tres meses para introducir los cambios necesarios en los mecanismos de obtención del consentimiento para el uso de cookies que se estén utilizando.

En primer lugar debemos conocer el alcance y la importancia que tienen las cookies en el mercado digital actual. Mediante la utilización de las cookies, los prestadores de servicio obtienen datos relacionados con los usuarios, que luego pueden ser utilizados para prestar un servicio como por ejemplo recordar el usuario, o el más importante, para fines comerciales.

La Agencia Española de Protección de Datos, en su guía, entiende como cookies cualquier tipo de dispositivo de almacenamiento y recuperación de datos que se utilice en el equipo terminal de un usuario con la finalidad de almacenar información y recuperar la información ya guardada, según establece el art. 11 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSICE). Éstas pueden ser clasificadas en distintas categorías dependiendo de sus objetivos. En primer lugar encontramos las tipos de cookies en función de la entidad que las gestione, en esta categoría encontramos las propias o de tercero (no las gestiona el mismo editor) . Otra categorías es según su finalidad, en este grupo encontramos las técnicas, permiten al usuario la navegación y utilización se los servicios existentes (excluidas del ámbito de aplicación del art 22 LSSICE), las cookies de preferencias o personalización permiten recordar información para que el usuario acceda con determinadas características como puede ser el idioma- en este caso si el internauta elige esas características, quedan excluidas del art 22. Cookies de análisis o medición, permiten el siguiente del comportamiento de los usuarios. Y por último, las cookies de publicidad comportamental, cuyo objetivo es almacenar la información de comportamiento de los usuarios mediante sus actos o hábitos de navegación, permitiendo al operador mostrar publicidad en función de los mismos. La última clasificación es en función del plazo de tiempo que permanecen activadas, donde encontramos las de sesión, que recogen datos mientas el usuario accede a una web y las persistentes, donde los datos se mantienen almacenados por un periodo definido a disposición del responsable de la misma.

Una vez tenemos identificadas el tipo de cookies, debemos conocer que obligaciones legales existen respecto a su utilización por parte de los prestadores de servicios, donde destacamos dos, la transparencia de la información y la obtención del consentimiento del interesado. En cuanto a la información, el art 22 LSSICE indica que la misma se debe facilitar a los usuarios de manera clara y completa, acerca de la utilización de los dispositivos de almacenamiento y recuperación de datos, y sobre los fines del tratamiento.

En primer lugar debemos informar de manera general sobre la definición y función de las cookies. Luego acerca del tipo utilizada, su finalidad y la identificación del servicios (si es el mismo quien las trata o si es un tercero). Se debe incluir la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies. Información sobre la transferencia de datos a países internacionales en el caso que le realizasen. El periodo de conservación, y por último el resto de información que exige el art 13 RGPD, como puede ser los derechos interesado.

Resulta muy importante determinar correctamente la manera de mostrar la información anteriormente explicada, el Comité Europeo de Protección de datos, dice que debe ser comprensible al integrante medio de la audiencia objetiva, partiendo de un conocimiento generalizado sobre las cookies. El lenguaje utilizado debe ser claro y sencillo y debe ser de fácil acceso (el usuario no debe que tener que buscarla). Debe existir acceso permanente.

Respecto a la obtención del consentimiento, debe ser expreso, con fórmulas tipo “consiento “o “acepto”, no siendo válida la mera inactividad del usuario. Es necesario tener en cuenta que, el usuario debe hacer una declaración informativa, que en cualquier caso puede negarse a aceptar las cookies (sin que impida el acceso) y que la aceptación de los términos y condiciones de uso de la página web debe estar separada de la  política de cookies.

Una vez informado el usuario acerca la utilización de las cookies, acompañado del consentimiento, el editor podrá utilizar las cookies. Dicho consentimiento deberá ser renovado si hay un cambio en los fines del uso de las mismas y la AEPD considera apropiado renovar el consentimiento en un plazo no superior a 24 meses.

Comentarios a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (en relación con el RGPD)