Es común encontrar en toda página web a la que accedemos hoy el día el mensaje: “Esta página web utiliza cookies”; el cual es el medio por el que los administradores de las páginas web cumplen con la obligación legal de informar sobre el almacenamiento de las llamadas cookies en los equipos de los usuarios cuando consultan un sitio web.
Según la Directiva de Privacidad y Comunicaciones electrónicas europea ePrivacy, vigente desde 2002, coloquialmente más conocida como “ley de cookies”, solo se permite su instalación si el usuario ha proporcionado su consentimiento expreso. Sin embargo, hay ciertas prácticas engañosas que pretenden lograrlo sin dicho consentimiento consciente.
Por lo mismo, luego aparecieron el nuevo Reglamento de Protección de Datos europeo (RGPD) en mayo de 2018, el Reglamento de Privacidad y Comunicaciones electrónicas o Reglamento de ePrivacy, que se trata de una concreción del RGPD en lo concerniente al uso de cookies (el cual aún espera por aprobación del Parlamento Europeo), pese a que su entrada en vigor se esperaba a lo largo de 2020.
Así, es mucho lo que, en cuanto al marco legal, respecta sobre las tan populares cookies de Internet; por lo que si tienes una página web para tu empresa o proyecto debes leer este artículo en el que el equipo profesional de este bufete de abogados en Tenerife, nos explican todo lo que hay que saber.
¿Qué son las cookies y para qué sirven?
Para entender todo lo que implican las cookies, comenzaremos por su concepto y funcionalidad. Las cookies son archivos de texto o dispositivos de almacenamiento que el navegador instala en el equipo del usuario cuando visita una página web. Estos archivos almacenan datos sobre la visita como, por ejemplo, los de acceso o autentificación y los ajustes de idioma, que hacen que las próximas visitas sean más cómodas, al no tener que proporcionar esta información cada vez.
Una cookie contiene generalmente indicaciones sobre su propia durabilidad, así como un número generado por azar que sirve para reconocer al ordenador (o dispositivo que se use). Solo que el almacenamiento de datos se produce de forma anónima, almacenando solo los datos personales cuando la página requiere autenticación.
El problema aquí es que esto se considera que choca con la protección de la privacidad del usuario, y es que hay muchas cookies que registran determinados aspectos de los hábitos de navegación, de forma que permiten la individualización de la publicidad en los navegadores. En este sentido, son sobre todo las cookies de seguimiento y de segmentación las que más conflictos generan.
Ley de cookies de la Unión Europea
La Directiva 2009/136/CE de 25 de noviembre de 2009, dictada en 2009, fue puesta en marcha por el Parlamento Europeo con el objetivo de garantizar y fortalecer la protección de los datos personales de los usuarios.
Así, la directiva de privacidad electrónica y protección del consumidor estableció que todo usuario que visite una página debe ser informado de una forma clara e inequívoca sobre el uso de cookies, lo que dio paso a los miles de anuncios sobre el uso de cookies que vemos hoy en día en casi todas las páginas que existen en la Internet.
Esto solo puede hacerse mediante una política de cookies o incluirse en la política de privacidad o en el aviso legal de la página. Además, es obligatorio que el usuario acepte explícitamente el registro de sus datos personales.
La única excepción son aquellas cookies que técnicamente son necesarias para el funcionamiento de la página, como por ejemplo, las requeridas para la implementación de un servicio solicitado por el usuario, las cookies de sesión para el ajuste del idioma, los datos de acceso y del carrito de la compra o las de flash para la reproducción de contenidos multimedia, por mencionar algunas.
Todas las demás cookies, como las de seguimiento, las que se usan en el marco del retargeting, las de análisis o las de redes sociales, si requieren la aprobación del usuario.
Sin embargo, la directiva europea no indica cómo deben aplicarse estas instrucciones; en especial en los aspectos referentes a la declaración de conformidad por parte de los usuarios.
Contenido de ley
Como te explicamos anteriormente, esta ley busca una mayor protección de los datos personales de los usuarios de Internet y distingue entre las cookies técnicamente necesarias y las no necesarias de esta manera:
- Cookies técnicamente necesarias: el almacenamiento de datos necesario incluye las cookies que son clave para el funcionamiento de una web. Por ejemplo, para guardar los datos de inicio de sesión, la cesta de la compra o la selección del idioma mediante las llamadas cookies de sesión, las cuales por lo general se borran cuando se cierra el navegador.
- Cookies técnicamente no necesarias: en este grupo se incluyen los archivos de texto que no solo no sirven para la funcionalidad de la página web, sino que recogen otros datos del usuario:
- Cookies de seguimiento
- Cookies de segmentación
- Cookies de análisis
- Cookies de redes sociales
Así, de acuerdo con la directiva de 2009, las cookies necesarias se pueden instalar sin el consentimiento previo del usuario, mientras que estos si deben dar su consentimiento si las cookies van a guardar aquellos datos que no se consideran necesarios. Por lo tanto, la directiva sobre cookies de la UE requiere una solución opt in para las cookies innecesarias.
Esta es la diferencia entre el opt out y el opt in:
- Opt out: las cookies se instalan desde el principio y los usuarios solo pueden objetar el almacenamiento más tarde.
- Opt in: las cookies no se instalan desde el principio, sino solo cuando el usuario está de acuerdo con el almacenamiento de datos.
Aplicación de la ley de cookies en España
La ley de cookies en España se encuentra contenida en el Real Decreto-ley 13/2012 de 30 de marzo de 2012, publicado en el BOE el 31 de marzo de 2012 y en vigor desde el 1 de abril del mismo año y es de cumplimiento obligado bajo pena de sanción.
Luego, reflejo de la Directiva europea de 2009, este decreto-ley se integra en el artículo 22 de la Ley 34/2002 de 11 de julio de servicios de la sociedad de la información y de comercio electrónico (LSSI) en 2014; dejando clara la necesidad de contar con la conformidad del usuario respecto al uso de sus datos mediante la instalación en su terminal de dispositivos de almacenamiento, tales como cookies, y la necesidad de avisar al usuario antes del almacenamiento.
Un año después de la publicación del Decreto-Ley, en 2013, la Agencia Española de Protección de Datos (AEPD) publica la Guía sobre el uso de cookies, la primera en Europa elaborada en conjunto por la autoridad de protección de datos y los representantes de la industria.
Finalmente, en julio de 2020, la AEPD publica junto a IAB Spain y las asociaciones Autocontrol, anunciates y adigital, otra versión de la Guía para presentar las Directrices sobre consentimiento que el Comité Europeo de Protección de Datos (CEPD) había modificado en mayo de ese mismo año. Además de para servir de orientación para cumplir con el artículo 22 de la LSSI, con el RGPD y con la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (LOPDGDD).
Este documento hace énfasis en la obligación del consentimiento informado del usuario antes de instalar los miniarchivos. Asimismo, se rechaza el uso del botón “seguir navegando” y su puntualización sobre el empleo de los “muros de cookies” cuando el usuario no da su consentimiento.
Asimismo, este documento también hace hincapié en la transparencia a la hora de informar sobre el uso de las cookies. El almacenamiento de las cookies no necesarias para la página debe ser consentido por el usuario de una forma clara e inequívoca tras haberle informado sobre el uso que tienen, qué información almacenan, si se transfieren sus datos a terceros, si pueden identificar o no al usuario y sobre el periodo de conservación de los datos. Todo esto para cumplir con el art. 13 del RGPD.
La Guía también aborda la actualización del consentimiento, considerando como buena práctica que tenga una validez de 24 meses para una determinada cookie, plazo durante el cual se mantengan las preferencias del usuario y no se le solicite un nuevo consentimiento cada vez que visite la misma página.
No obstante, la mejor opción a tener en cuenta ante la instalación de plugins que cumplan todo lo establecido en la ley en lo referente a los cookies, desde DCM-WEB nos aconsejan contar con el asesoramiento de un profesional del sector tecnológico, que esté formado y actualizado al respecto, para que nuestras páginas cuenten con todo lo necesario.
Por último, si bien las cookies técnicas están exentas de lo establecido en el artículo 22.2 de la LSSI y, por lo tanto, no es necesario informar ni obtener el consentimiento sobre su uso, la Guía recomienda informar sobre su uso de todas formas por razones de transparencia. Así, la Agencia presenta el siguiente ejemplo de cláusula informativa: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo” que también solemos ver muchos en la mayoría de los sitios web, si prestamos un poco de atención.
Así, es importante conocer la diferencia entre una cookie técnicamente necesaria y las que no lo son, para saber que tratamiento debemos darle a cada una según lo establecido por las leyes en materia.