Las «cookies» son desde hace ya bastante tiempo nuestras compañeras de navegación por la red como usuari@s, y nuestras aliadas para la determinación de nuestras acciones de comunicación y promoción cuando actuamos como empresa u organización. Pero ¿que son realmente las cookies? y ¿como asegurar que estamos utilizándolas de forma correcta desde nuestra empresa u organización en los términos que establece al RGPD y la LSSICE? Te lo contamos en este POST.
La sentencia del Tribunal de Justicia Europeo sobre el asunto C-673/17, ha proporcionado unas directrices claras para un correcto cumplimiento del RGPD en relación a la información facilitada y consentimiento otorgado en las políticas de cookies. En base a esta sentencia os resumimos de forma práctica como establecer un correcto protocolo sobre la política de cookies que debemos incluir en nuestra página web si las utilizamos para una finalidad concreta.
1º ¿QUE SON LAS COOKIES?
Son pequeños «archivos de texto» que se almacenan en el directorio del navegador de nuestro ordenador cuando las aceptamos.
2º ¿LAS COOKIES TRATAN DATOS PERSONALES?
Estos archivos pueden tratar, o no, datos personales, por lo tanto, en la medida en que estos puedan ser tratados por terceras empresas, estos deberán ser protegidos en cumplimiento de la normativa. La igualdad de trato ante la información almacenada o consultada por las cookies en el ordenador del usuario sean o no datos personales, la tenemos acreditada a través de los artículos 2 f) y 5.3 de la Directiva 2006/136 y artículos 4, punto 11 y 6, apartado 1, letra a), del Reglamento 2016/679, y del considerando 24 de la Directiva 2002/58. Todo ello interpretado en la Sentencia del TJUE 673/17 en el punto 2 de la declaración del citado tribunal, donde se dice expresamente que “no deben interpretarse de manera diferente en función de que la información almacenada o consultada en el equipo terminal del usuario de un sitio de Internet sean o no datos personales en el sentido de la Directiva 95/46 y del Reglamento 2016/679.”
4º ¿QUE TIPO DE COOKIES EXISTEN?
Podemos categorizar las cookies bajo diferentes criterios:
- PROPIAS O DE TERCEROS, según la entidad que gestiona. En el primer caso, la cookie será gestionada por el propio editor, el que presta el servicio solicitado por el usuario. En el segundo caso, las de terceros, no es gestionado por el editor sino por otra entidad.
- DE SESIÓN O PERSISTENTES, según el plazo de tiempo que estén activas. La diferencia es que las de sesión recaban datos mientras el usuario accede a la página, en las persistentes no es solo en el acceso, sino que pueden durar de minutos a años. Están diseñadas para recabar y almacenar datos mientras el usuario accede a una página web. Las cookies de sesión y de entrada de usuario se suelen utilizar para rastrear las acciones del usuario al rellenar los formularios en línea en varias páginas o como cesta de la compra para hacer el seguimiento de los artículos que el usuario ha seleccionado al pulsar un botón.
- Según FINALIDAD serán técnicas, de personalización, de análisis, publicitarias o de publicidad comportamental.
- Las técnicas permiten la navegación al usuario con el uso de las diferentes opciones que haya en la web, plataforma o aplicación. Por ejemplo, la realización de una compra de un pedido o el compartir contenidos a través de redes sociales.
- Las de personalización, son aquellas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma o el tipo de navegador a través del cual se conecta al servicio.
- Las de análisis permiten al responsable de estas el seguimiento y análisis del comportamiento de los usuarios en la web. Las más habituales suelen ser las de Google Analytics (_ga, _gid, _gat, etc.) cuyas funcionalidades van desde el recuento y limitación del porcentaje de solicitudes, hasta distinguir a los usuarios, contar visitas, etc., con la finalidad de realizar métrica de la navegación de los usuarios.
- Las publicitarias permiten gestionar los espacios publicitarios que el editor haya incluido en su web. Con estas cookies se pueden gestionar los criterios o frecuencia con la que se mostrarán los anuncios. Las publicitarias comportamentales, además, almacenan información del comportamiento del usuario y con ella desarrollan un perfil con el que mostrar una publicidad adecuada a él. Cookies habituales publicitarias que podemos encontrarnos son las de redes sociales como Linkedin (anj, ELOQUA, BizoID, etc.) o Facebook (fr, ddid, _fbc, _fbp, etc.).
5º ¿COMO ASEGURAR LA CORRECTA UTILIZACIÓN DE COOKIES EN CUANTO A LA NORMATIVA VIGENTE EN MATERIA DE PROTECCIÓN DE DATOS?
Para que el uso de las cookies de una web sea realizado de forma adecuada, tal y como nos expone la STJUE C-673/17, debemos disponer del consentimiento del usuario mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado, mismos términos que recoge el considerando 32 del RGPD en relación con el consentimiento prestado.
Para que esta manifestación de voluntad sea acorde a la legislación, y pueda considerarse, por ende, un acto afirmativo, no deberemos disponer de botones pre-marcados por defecto, de forma que el usuario deba marcar expresamente en caso de que desee dar su consentimiento para que se puedan utilizar cookies en su dispositivo. Tampoco es válido el disponer del consentimiento a través de silencio o de inacción del usuario.
Todo ello viene, entre otras normativas, regulado por la LLSICE, en su artículo 22.2 que establece que los prestadores de servicios pueden usar dispositivos de almacenamiento y recuperar datos de los equipos de los destinatarios, a condición de la obtención del consentimiento. Los dispositivos de almacenamiento se refieren entre otros a las cookies y tecnologías similares.
6º ¿COMO ANUNCIAR EL USO DE COOKIES? Y ¿COMO SOLICITAR EL CONSENTIMIENTO DEL USUARIO?
En el caso de que vuestro sitio web utilice cookies sobre las que sea necesario informar y obtener el consentimiento, esta información deberá estar a disposición del usuario de forma clara y completa, con carácter permanente y en un lugar accesible y visible del sitio web, por ejemplo en el footer de la página junto con el resto de avisos legales. Asimismo, para la instalación y utilización de las cookies no exentas, como decíamos, el usuario deberá haber otorgado su consentimiento expreso para su uso.
7º ¿QUÉ COOKIES ESTÁN EXENTAS DE RECOGER EL CONSENTIMIENTO DEL USUARIO PARA SU UTILIZACIÓN?
Quedan exceptuadas de estos requisitos según el artículo 22.2 LSSICE y el Dictamen 4/20123 del Grupo de Trabajo del Artículo 29 las cookies utilizadas para alguna de estas finalidades:
- Permitir únicamente la comunicación entre el equipo del usuario y la red.
- Estrictamente prestar un servicio expresamente solicitado por el usuario.
- Cookies de entrada del usuario.
- Cookies de autenticación o identificación de usuario (únicamente de sesión).
- Cookies de seguridad del usuario.
- Cookies de sesión de reproductor multimedia.
- Cookies de sesión para equilibrar la carga.
- Cookies de personalización de la interfaz de usuario.
8º EN RESUMEN, ¿QUE DEBO INCLUIR EN MI WEB SI UTILIZO COOKIES NO EXENTAS?
En definitiva se trata de asegurar el cumplimiento de nuestro deber de información y de cumplimiento de utilización únicamente bajo el consentimiento del usuario. Para ello la recomendación habitual es adoptar un sistema de información por capas basado en:
- PRIMERA CAPA: BANNER INFORMATIVO:
Para elaborar la primera capa (mediante un banner o pop-up emergente de cookies), se deberá evitar incluir cualquier tipo de información que pueda generar confusión o ambigüedad, como por ejemplo: “utilizamos cookies para personalizar su contenido” o “para mejorar su navegación” o fórmulas similares y, como hemos dicho, frases como ‘si continua navegando por nuestra web entendemos que otorga su consentimiento…’.
El contenido de esta primera capa (banner) debe contener:
- La identidad del responsable del tratamiento.
- La indicación del uso de cookies tanto propias como de terceros.
- La finalidad de las cookies utilizadas (analíticas, publicitarias, si elaboran perfiles, etc).
- Un enlace a la segunda capa Política de Cookies propiamente dicha.
- Un botón que facilite ACEPTAR la instalación de las cookies.
Y finalmente, se puede incluir un botón en el mismo banner que permitaRECHAZAR TODAS las cookies o incluir un botón CONFIGURAR COOKIES que nos lleve a un panel de gestión de las mismas.
- SEGUNDA CAPA: PANEL DE GESTIÓN DE COOKIES:
En este panel intermedio, donde accederemos al clicar en el botón CONFIGURAR COOKIES debemos permitir al usuario:
- Seleccionar (con un check o botón) las cookies que permitimos pudiendo seleccionar solo las cookies que nos interesen.
- Seleccionar RECHAZAR TODAS para inhabilitar todas las cookies.
- Ir a la POLÍTICA DE COOKIES completa para ampliar info.
Este panel intermedio de selección/activación de las cookies de forma independiente se puede gestionar mediante alguno de los plugin disponibles en el mercado (revisar que cumplan con estas nuevas prescripciones) o a través de programación (código).
- TERCERA CAPA: POLÍTICA DE COOKIES:
En esta tercera capa (política de cookies) se incluirá toda esta información:
– Nombre de las cookies.
– Finalidad de las cookies.
– Caducidad.
– Proveedor de las cookies.
– La forma de desactivar o eliminar las cookies enunciadas en los principales navegadores web.
– Podría integrarse en esta capa el panel de configuración de cookies mencionado en el apartado anterior.
– Información relacionada con el tratamiento de datos personales prevista en el artículo 13 RGPD, que habrá de ofrecerse de forma concisa, transparente, inteligible y con un lenguaje claro y sencillo.
De esta forma daremos cumplimiento a nuestro deber de información y de recogida de consentimiento asegurando el cumplimiento a su vez de los derechos del usuario.
Esperamos que esta información sea de vuestro interés y os ayude en la gestión de la protección de datos en vuestra organización, como sabéis desde novaK quedamos a vuestra entera disposición para atender cualquier duda al respecto.
(El contenido del presente post ha sido elaborado por novak y su partner legal en servicio de protección de datos: pymelegal.)