Internet es una herramienta fundamental en la actualidad para realizar cualquier labor, desde obtener cualquier tipo de información, hasta realizar compras online. Por eso, resulta esencial conocer qué son las cookies y cómo estas deben trabajar y obtener datos acorde a la legislación, teniendo en cuenta así el cumplimiento del Reglamento General de Protección de Datos (en adelante, RGPD). Para ello, analizamos los puntos más importantes de la actualización de esta normativa.
¿Qué son las cookies y para qué sirven?
La mayoría de los usuarios de la red conoce el término cookies porque es lo primero que se encuentra en prácticamente cualquier página web. El aviso de almacenaje de cookies es más que conocido en el mundo de internet, y por ello, es posible que muchos usuarios simplemente lo cierren sin darle mayor importancia, sin saber que eso implica la aceptación de las cookies y el almacenamiento de sus datos.
Las cookies tienen como finalidad conocer el historial de actividad de los usuarios para ofrecer un tipo de contenido personalizado. Por el hecho de contener información sensible de ataques, es importante seguir una serie de normas establecidas en el RGPD o Reglamento General de Protección de Datos, que entró en vigor en el mes de mayo de 2018 y ha sido revisado en julio de 2020.
Para orientar a las empresas a realizar un buen uso de las cookies, la Agencia Española de Protección de Datos (AEPD) actualizó su Guía sobre el uso de las “cookies”, adaptándola así a las nuevas modificaciones del Comité Europeo de Protección de Datos (CEPD)
El cumplimiento del RGPD respecto a las cookies
La normativa establece una serie de requisitos obligatorios a la hora de configurar las cookies que deben ser implementados antes del 31 de octubre de 2020, permitiendo así un periodo transitorio en los mecanismos de obtención del consentimiento del uso de cookies. Estas modificaciones se añaden a todas las establecidas de forma anterior en el Reglamento que entró en vigor en 2018. Estas modificaciones encuentran sus dos puntos fundamentales en la aceptación de cookies al hacer clic en “seguir navegando” y en el uso de los “muros de cookies” que impedían a la persona seguir navegando y utilizando los servicios hasta la aceptación de las mismas.
Conviene señalar que quedan exceptuadas de la obligación de informar o de solicitar el consentimiento (aunque la autoridad recomienda informar en el aviso de cookies al respecto) aquellas cookies que permiten únicamente la comunicación entre el equipo del usuario y la red y aquellas cookies que se instalan para prestar un servicio expresamente solicitado por el usuario (cookies técnicas). De este modo, quedarían exceptuadas aquellas cookies que tengan por finalidad:
- Cookies de “entrada del usuario” (p.ej., formularios en línea, cesta de la compra…).
- Cookies de autenticación o identificación de usuario (únicamente de sesión).
- Cookies de seguridad del usuario (p.ej., intentos erróneos de inicio de sesión).
- Cookies de sesión de reproductor multimedia.
- Cookies de sesión para equilibrar la carga.
- Cookies de personalización de la interfaz de usuario.
- Determinadas cookies de complemento (plug-in) para intercambiar contenidos sociales (cuando el usuario haya decidido mantener la sesión abierta).
En relación a otros tipos de cookies, encontramos las siguientes:
- De preferencias o personalización: Aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio, etc.
- De análisis o medición: La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.
- De publicidad comportamental: Son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
Para estos tipos de cookies, las obligaciones legales impuestas por la normativa son dos: la obligación de transparencia (informar) y la obligación de obtención del consentimiento.
Para solicitar el consentimiento, se debe facilitar una breve información al entrar en la web, antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo. En este aviso, se solicitará el consentimiento explícito de los usuarios que acepten el uso de cookies haciendo clic en un botón de “Aceptar».
Si no se pulsa el botón “Aceptar cookies”, el usuario no está autorizando el uso de cookies (por lo tanto, no está legitimado el uso de cookies si el usuario no pulsa el botón para aceptar cookies y simplemente continúa navegando). En todo caso, será necesario que el usuario realice una acción que pueda calificarse como una clara acción afirmativa para que el consentimiento se considere válidamente otorgado.
Además del botón de “Aceptar” para solicitar el consentimiento, será necesario que la información de la primera capa se complete con un sistema o panel de configuración en el que el usuario pueda optar entre aceptar o no las cookies de forma granular, o un enlace que conduzca a dicho sistema o panel. También puede darse al usuario una tercera opción, consistente en incluir dos botones, uno para que acepte y otro para que configure/rechace las cookies.
El enlace o botón para administrar preferencias debe llevar al usuario directamente al panel de configuración, sin que tenga que desplazarse por grandes cantidades de texto buscando la información, que deberá seguir siendo accesible de forma permanente.
Por otro lado, el contenido mínimo y obligatorio de la Política de Cookies presenta pocos cambios, ya que debe incluir: definición y función de las cookies, información sobre el tipo de cookies que se utilizan y su finalidad, identificación de quién utiliza las cookies, información sobre cómo aceptar o rechazar las cookies, información sobre transferencias de datos a terceros países, e información sobre la elaboración de perfiles.
El texto debe ser claro, sencillo, evitando tecnicismos, de fácil acceso, etc,; por tanto, como novedad, no serían válidas, por ejemplo, frases como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias comportamentales. También deben evitarse términos como “puede”, “podría”, “algún”, “a menudo”, y “posible”.
Consideraciones más relevantes incluidas en el RGPD
Ante el nuevo marco legal, es importante que las empresas tengan en cuenta los siguientes aspectos:
- Transparencia: las empresas deben explicar a los usuarios de los cuáles obtengan sus datos para qué y cómo están siendo empleados de forma completamente transparente.
- Consentimiento tácito: en cualquier caso, los usuarios podrán retirar el consentimiento y eliminar sus datos de los servidores. Así lo establece el nuevo reglamento, que obliga a realizar controles para garantizar que los usuarios ceden sus datos con conocimiento de ello. Para ello, el “seguir navegando” ya no podrá implicar la aceptación de las cookies de forma implícita.
- Seguridad: las empresas también deben adoptar medidas para garantizar que toda la información de los usuarios está custodiada y se utiliza de una forma correcta.
- Comunicación de fallos: si hubiese alguna filtración de esta información del usuario, la empresa deberá comunicar los fallos de seguridad a la AEPD en un plazo de 72 horas, por lo que se requiere un sistema efectivo para la comunicación de estas brechas de seguridad.
- Data Protection Officer: a partir de ahora, existirá una figura que será el delegado de protección de datos, y que será obligatorio en todas las administraciones públicas y en organizaciones con un tratamiento de datos a gran escala.
- Menores de edad: el consentimiento parental para procesar los datos de menores de 16 años en servicios a través de la web será requerido para acceder a ello.
- Medidas Tecnológicas para la Privacidad: se establece que en todo proyecto de desarrollo en entorno tecnológico debe analizar los posibles riesgos que pudieran suponer para la privacidad de los datos personales.
Si quieres garantizar que tu página web cumple con todas las condiciones descritas en el RGPD y que la obtención de los datos de los usuarios que acceden a ella se realiza de forma totalmente legal, contacta con nosotros para recibir asesoramiento personalizado.
