Si tens una pàgina web, hauries de saber que estàs obligat a complir una sèrie d’obligacions relacionades amb el tractament de dades personals. Per tant, hauria de sonar-te el Reglament Europeu 2016/679 General de Protecció de dades (RGPD), la Llei orgànica 3/2018 de Protecció de Dades personals i Garantia dels Drets Digitals (LOPDGDD) i la Llei 34/2002 de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSICE). En aquest article repassarem les principals novetats respecte  l’ús de cookies i t’explicarem què has de tenir en compte a l’hora de configurar les cookies de la teva pàgina web, si vols complir amb la normativa vigent i evitar ser sancionat.

Al juliol de 2020, l’Agència Espanyola de Protecció de Dades (AEPD) va actualitzar la Guia sobre ús de cookies per a adaptar-la a les directrius sobre el consentiment en el RGPD, publicades, al maig del 2020, pel Comitè Europeu de Protecció de Dades (CEPD), per a l’elaboració de les quals es van tenir en compte les recomanacions del ja cessat grup de treball de l’article 29, així com les últimes resolucions del Tribunal de Justícia de la Unió Europea sobre el consentiment en el RGPD i en la Directiva Europea 2002/58 ( a destacar, STJUE de 1/10/2019 assumpte C-673/17).

Les noves recomanacions de l’AEPD havien d’aplicar-se abans del 31 d’octubre de 2020. Per tant, si no has adaptat les cookies del teu web et recomanem que llegeixis aquest article sobre com configurar les cookies per evitar ser sancionat.

Repassem el concepte de cookies i la normativa aplicable

Abans d’explicar-te com configurar les cookies de la teva pàgina web per evitar ser sancionat, considerem oportú repassar el concepte de cookies i la normativa aplicable.

Una cookie és un fitxer de petita grandària que els llocs web envien al navegador i es descarreguen en el teu ordinador. Les cookies permeten que la pàgina web emmagatzemi i recuperi la informació sobre la teva visita, com per exemple el teu idioma preferit i altres opcions, amb la finalitat de millorar els serveis que s’ofereixen i contribuir a tenir una millor experiència de navegació per a l’usuari.

A més de les cookies també existeixen un altre tipus de tecnologies que permeten emmagatzemar i recuperar la informació dels usuaris que visiten una web, per exemple, els píxels i els web beacons o bugs.

Segons l’article 22 de la LSSICE, per a la utilització de qualsevol dispositiu d’emmagatzematge i recuperació de dades en equips terminals dels destinataris (és a dir, la utilització de cookies o tecnologies similars):

– Es requereix el consentiment previ dels destinataris

– I, abans que el destinatari del seu consentiment se l’ha d’informar de manera clara i completa sobre la finalitat del tractament de dades.

No serà necessari el consentiment previ dels usuaris quan es tracti de cookies tècniques o tecnologies similars que siguin estrictament necessàries per a la prestació del servei.

Tipus de cookies

1. Segons l’entitat que les gestioni

a) Cookies pròpies:

Són aquelles que s’envien a l’equip terminal de l’usuari des d’un equip o domini gestionat pel propi editor i des del qual es presta el servei sol·licitat per l’usuari.

b) Cookies de tercers:

Són aquelles que s’envien a l’equip terminal de l’usuari des d’un equip o domini que no és gestionat per l’editor, sinó per una altra entitat que tracta les dades obtingudes a través de les cookies. En el cas que les cookies siguin servides des d’un equip o domini gestionat pel propi editor, però la informació que es reculli mitjançant aquestes sigui gestionada per un tercer, no poden ser considerades com a cookies pròpies si el tercer les utilitza per a les seves pròpies finalitats (per exemple, la millora dels serveis que presta o la prestació de serveis de caràcter publicitari a favor d’altres entitats).

2. Segons la seva finalitat

a) Cookies tècniques:

Són aquelles que permeten a l’usuari la navegació a través d’una pàgina web, plataforma o aplicació i la utilització de les diferents opcions o serveis que en ella existeixin, incloent aquelles que l’editor utilitza per a permetre la gestió i operativa de la pàgina web i habilitar les seves funcions i serveis, com, per exemple, controlar el trànsit i la comunicació de dades, identificar la sessió, accedir a parts d’accés restringit, recordar els elements que integren una comanda, realitzar el procés de compra d’una comanda, gestionar el pagament, controlar el frau vinculat a la seguretat del servei, realitzar la sol·licitud d’inscripció o participació en un esdeveniment, comptar visites a l’efecte de la facturació de llicències del programari amb el qual funciona el servei (lloc web, plataforma o aplicació), utilitzar elements de seguretat durant la navegació, emmagatzemar continguts per a la difusió de vídeos o so, habilitar continguts dinàmics (per exemple, animació de càrrega d’un text o imatge) o compartir continguts a través de xarxes socials.

També pertanyen a aquesta categoria, per la seva naturalesa tècnica, aquelles cookies que permeten la gestió, de la forma mes eficaç possible, dels espais publicitaris que, com un element mes de disseny o “maquetació” del servei ofert a l’usuari, l’editor hagi inclòs en una pàgina web, aplicació o plataforma sobre la base de criteris com el contingut editat, sense que es recopili informació dels usuaris amb finalitats diferents, com pot ser personalitzar aquest contingut publicitari o altres continguts.

Les cookies tècniques estaran exceptuades del compliment de les obligacions establertes en l’article 22.2 de la LSSI quan permetin prestar el servei sol·licitat per l’usuari, com ocorre en el cas de les cookies enumerades en els paràgrafs anteriors. No obstant això, si aquestes cookies s’utilitzen també per a finalitats no exemptes (per exemple, per a fins publicitaris comportamentals), quedaran subjectes a aquestes obligacions.

b) Cookies de preferències o personalització:

Són aquelles que permeten recordar informació perquè l’usuari accedeixi al servei amb determinades característiques que poden diferenciar la seva experiència de la d’altres usuaris, com, per exemple, l’idioma, el nombre de resultats a mostrar quan l’usuari realitza una cerca, l’aspecte o contingut del servei en funció de la mena de navegador a través del qual l’usuari accedeix al servei o de la regió des de la qual accedeix al servei, etc.

Si és el propi usuari qui tria aquestes característiques (per exemple, si selecciona l’idioma d’un lloc web clicant en la icona de la bandera del país corresponent), les cookies estaran exceptuades de les obligacions de l’article 22.2 de la LSSI per considerar-se un servei expressament sol·licitat per l’usuari, i això sempre que les cookies obeeixin exclusivament a la finalitat seleccionada.

c) Cookies d’anàlisis o mesurament:

Són aquelles que permeten al responsable de les mateixes el seguiment i anàlisi del comportament dels usuaris dels llocs web als quals estan vinculades, inclosa la quantificació dels impactes dels anuncis. La informació recollida mitjançant aquesta mena de cookies s’utilitza en el mesurament de l’activitat dels llocs web, aplicació o plataforma, amb la finalitat d’introduir millores en funció de l’anàlisi de les dades d’ús que fan els usuaris del servei.

Respecte al tractament de dades recaptades a través de les cookies d’anàlisis, el GT29 va manifestaŕ que, a pesar que no estan exemptes del deure d’obtenir un consentiment informat per al seu ús, és poc probable que representin un risc per a la privacitat dels usuaris sempre que es tracti de cookies de primera part, que tractin dades agregades amb una finalitat estrictament estadística, que es faciliti informació sobre els seus usos i s’inclogui la possibilitat que els usuaris manifestin la seva negativa sobre la seva utilització.

d) Cookies de publicitat comportamental:

Són aquelles que emmagatzemen informació del comportament dels usuaris obtinguda a través de l’observació continuada dels seus hàbits de navegació, la qual cosa permet desenvolupar un perfil específic per a mostrar publicitat en funció d’aquest.

En tot cas, ha de tenir-se en compte que aquestes tipologies s’ofereixen a títol orientatiu per ser les mes habituals. Els editors i els tercers podran realitzar les categoritzacions que considerin que millor s’ajusten a les finalitats de les cookies que utilitzen, de manera que es respecti el principi de transparència enfront dels usuaris.

3. Segons el termini de temps que romanen activades

a) Cookies de sessió:

Són aquelles dissenyades per a recaptar i emmagatzemar dades mentre l’usuari accedeix a una pàgina web. Se solen emprar per a emmagatzemar informació que només interessa conservar per a la prestació del servei sol·licitat per l’usuari en una sola ocasió (per exemple, una llista de productes adquirits) i desapareixen en acabar la sessió.

b) Cookies persistents:

Són aquelles en les quals les dades segueixen emmagatzemats en el terminal i poden ser accedits i tractats durant un període definit pel responsable de la cookie, i que pot anar d’uns minuts a diversos anys.

Referent a això ha de valorar-se específicament si és necessària la utilització de cookies persistents, ja que els riscos per a la privacitat podrien reduir-se mitjançant la utilització de cookies de sessió. En tot cas, quan s’instal·lin cookies persistents, es recomana reduir al mínim necessari la seva durada temporal atesa la finalitat del seu ús.

El Dictamen 4/2012 del Grup de Treball de l’article 29 va indicar que perquè una cookie pugui estar exempta del deure de consentiment informat, la seva caducitat ha d’estar relacionada amb la seva finalitat. A causa d’això, és molt mes probable que es considerin com exceptuades les cookies de sessió que les persistents.

Novetats en matèria de cookies i tecnologies similars

Ara sí, a continuació, donarem resposta a la pregunta que dóna títol a aquest article sobre com configurar les cookies per evitar ser sancionat, detallant les principals novetats en matèria de cookies que recull la guia de l’AEPD:

Seguir navegat o scroll

Segons el CEPD i l’AEPD, el consentiment de l’usuari ha de ser clar i inequívoc, per això el fet que els usuaris continuïn navegant o facin scrolling en el lloc web en cap cas podrà entendre’s com una manera de prestar el consentiment i acceptar les cookies. Per tant, el silenci o inactivitat de l’usuari no podrà ser considerat com un acte afirmatiu que reflecteixi el seu consentiment.

Murs de cookies

Un mur de cookies és una finestra que apareix just en entrar en una web amb la informació sobre cookies o condicions de la web que aquestes visitant, que t’impedeix continuar navegant per la web o accedir al contingut fins que no li donis al botó d’acceptar que apareix en aquesta finestra. Segons el CEPD, els murs de cookies no són una forma vàlida de recaptar el consentiment dels usuaris, ja que aquest consentiment no s’entén com prestat lliurement, ja que es condiciona l’accés als serveis i funcionalitats de la web a l’acceptació de l’usuari.

No obstant això, segons la guia sobre ús de cookies de l’AEPD, podran existir determinats suposats en els quals la no acceptació de la utilització de cookies impedeixi l’accés al lloc web o la utilització total o parcial del servei, sempre que s’informi adequadament l’usuari i se li ofereixi una alternativa d’accés al servei sense necessitat d’acceptar l’ús de cookies. Segons el CEPD, els serveis de totes dues alternatives hauran de ser genuïnament equivalents, sense que sigui vàlid que el servei equivalent l’ofereixi una entitat aliena a l’editor.

Informació per capes

Es recomana l’ús de declaracions o avisos de privacitat per nivells, això és, que continguin la informació en capes, de manera que es permeti a l’usuari anar a aquells aspectes de la declaració o avís que siguin de major interès per a ell. D’aquesta manera s’evita la fatiga informativa de l’usuari. Malgrat l’anterior, també s’ha d’oferir la possibilitat a l’usuari que accedeixi fàcilment a un únic lloc de la pàgina web o document complet en el qual es detalli la totalitat de la informació, per si aquest desitja consultar-la íntegrament.

Un sistema d’avisos de privacitat o cookies per capes seria:

1a capa: En el moment en el qual l’usuari accedeix a la web se li detalla la següent informació essencial (aquesta informació haurà de mantenir-se en la pantalla fins que l’usuari accepti les cookies, les configuri o les rebutgi):

Dades d’identificació del responsable: No obstant això, no serà necessària la denominació social, sempre que les dades identificatives completes figurin en altres seccions del lloc web, com per exemple en l’avís legal o en la política de privacitat, i la seva identitat pugui desprendre’s de manera evident del propi lloc web, com per exemple, quan el propi domini es correspongui amb el nom de l’editor o la marca amb la qual s’identifica enfront del públic o aquest nom o marca figurin clarament en el lloc web.

Finalitats de les cookies que utilitza la web: Diferenciant entre cookies pròpies o de tercers (no és necessari identificar als tercers en aquesta primera capa).

Informació genèrica sobre elaboració de perfils dels usuaris: Detallant els tipus de dades que es recopilaran i utilitzar per a elaborar perfils dels usuaris (per exemple, quan s’utilitzin cookies de publicitat comportamental).

La manera d’acceptar, configurar i rebutjar les cookies: Advertint a l’usuari que, si realitza una determinada acció, s’entendrà que ha acceptat o rebutjat l’ús de cookies.

Un enllaç clarament visible que dirigeixi a una segona capa informativa: En aquesta segona capa s’inclou informació mes detallada i s’ofereix la possibilitat de configurar les cookies.

2ª capa o 3ª capa: En aquesta última capa haurà de detallar-se tota la informació relativa a l’ús de cookies o tecnologies similars en el lloc web. Aquesta capa haurà d’estar disponible de manera permanent en un únic lloc del lloc web o document i, a més, haurà de ser fàcilment accessible.

En aquesta capa ha d’incloure’s:

– La definició i funció genèrica de les cookies.

– El tipus de cookies que s’utilitzen i la seva finalitat.

– Identificació de qui utilitza les cookies.

– La manera d’acceptar, denegar o revocar el consentiment per a l’ús de cookies.

– La informació sobre les transferències de dades a tercers països realitzades pel responsable (en cas de realitzar-se).

– El període de conservació de les dades personals.

– La lògica utilitzada per a l’elaboració de perfils i per a la presa de decisions automatitzades (en cas de realitzar-se), advertint a l’usuari sobre la importància i conseqüències previstes d’aquest tractament en els termes de l’article 13.2.f) del RGPD.

Per a la resta d’informació exigida per l’article 13 del RGPD que no es refereixi de manera específica a les cookies (per exemple, els drets dels interessats), el responsable de la pàgina web podrà remetre a la política de privacitat, on si que serà necessari que es detalli aquesta informació.

Acceptació o rebuig de l’usuari i requisits de l’avís de cookies

S’ha d’oferir a l’usuari la possibilitat de rebutjar les cookies sense que això, tal com es comentava anteriorment, li impedeixi navegar o accedir al contingut o serveis de la pàgina web.

L’acceptació de les cookies ha de separar-se de l’acceptació dels termes i condicions d’ús o de la política de privacitat.

No es podran pre-marcar les caselles opcionals de cookies, ha de ser l’usuari el que les activi manualment o bé, en indicar que accepta la totalitat de les cookies. En cas contrari, s’entendrà que l’usuari no ha donat el seu consentiment lliurement.

Les úniques cookies que podran pre-marcar-se com a actives sense que l’usuari del seu consentiment seran aquelles cookies tècniques que siguin estrictament necessàries per a la prestació del servei o dels serveis.

Com a regla general, sempre que un consentiment hagi estat obtingut de manera vàlida, no serà́ necessari obtenir-lo cada vegada que un usuari visiti de nou la mateixa pàgina web des de la qual es presta el servei. No obstant això, l’AEPD recomana que el consentiment per a l’ús d’una determinada cookie s’actualitzi, com a màxim, cada 24 mesos.

Si canvien els fins d’ús de les cookies o els tercers que fan ús d’aquestes haurà d’actualitzar-se la política de cookies i la política de privacitat, i tornar a sol·licitar el consentiment dels usuaris que haguessin acceptat les cookies abans dels canvis.

Sempre s’haurà d’oferir un mecanisme senzill que permeti a l’usuari, en qualsevol moment, retirar el seu consentiment sobre l’ús de cookies.

Que passa si no adapto les cookies del meu web a les recomanacions de l’AEPD?

Després de la publicació de la guia de cookies al juliol de 2020, l’AEPD va establir un període transitori perquè els responsables de pàgines web s’adaptessin als nous criteris. Aquest període transitori va finalitzar el passat 31 d’octubre de 2020, de manera que a partir d’aquesta data tots els responsables de pàgines web que no compleixin amb els nous criteris de cookies podran ser sancionats.

La LSSICE permet l’aplicació de sancions de fins a 30.000€ per incompliments relacionats amb les cookies, per part seva, el RGPD estableix que les sancions seran com a mínim del 2% del volum de negoci total anual global de l’exercici financer anterior (en el cas d’empreses) i com a màxim de 20.000.000€.

Aquí us deixem les últimes sancions imposades per l’AEPD per incompliments relacionats amb cookies:

Sanció a Twitter

Procediment sancionador: 00299/2019

Motiu de la sanció: En accedir a la pàgina web i sense haver realitzat cap altre tipus d’acció, s’instal·len diverses cookies en el navegador, entre elles, algunes de tipus desconegut i altres de publicitat.

Fallada de la resolució: “PRIMER: IMPOSAR a l’entitat TWITTER INTERNATIONAL COMPANY (TWITTER SPAIN, S.L.), amb CIF. B86672318, titular de la pàgina web: www.twitter.com , una sanció de 30.000 euros (trenta mil euros), per infracció de l’article 22.2) de la Llei LSSI, tipificada com a “lleu” en l’article 38.4.g) de la citada Llei”

Sanció a Ibèria

Procediment sancionador: 00032/2020

Motiu de la sanció: Mur de cookies amb informació poc clara i detallada que no permet continuar navegant fins a acceptar les cookies o configurar-les. A més, no s’ofereix a l’usuari l’opció de rebutjar totes les cookies alhora.

Fallada de la resolució: “PRIMER: IMPOSAR a l’entitat IBÈRIA LÍNIES AÈRIES D’ESPANYA, S. a. OPERADORA UNIPERSONAL (IBÈRIA) amb CIF: A85850394, titular de la pàgina web: **URL.1 una sanció de 30.000 euros (trenta mil euros), per infracció de l’article 22.2. de la LSSI.”

 Sanció a Navas Joiers SL

Procediment sancionador 00321/2013

Motiu de la sanció: Incomplir el deure d’informació previ en recollir dades personals dels interessats a través dels formularis habilitats en els diferents llocs web de la seva titularitat sense incloure en els mateixos la informació en matèria de protecció de dades que exigeix la norma.

No informar els visitants dels seus llocs web de manera clara i completa sobre l’ús de cookies i les finalitats preteses en recuperar les dades emmagatzemades, tal com exigeix l’article 22.2 de la LSSICE.

Fallada de la resolució:  “PRIMER: IMPOSAR a l’entitat NAVAS JOIERS IMPORTADORS, S.L., per una infracció de l’article 5.1 i 2 de la LOPD, tipificada com a lleu en l’article 44.2.c) d’aquesta norma, una multa de 1.500 € (Mil cinc-cents euros), de conformitat amb els apartats 1 i 4 de l’article 45 de la citada Llei orgànica.

SEGON: IMPOSAR a l’entitat NAVAS JOIERS IMPORTADORS, S.L., per una infracció de l’article 22.2 de la LSSI, tipificada com a lleu en l’article 38.4.g) e aquesta norma, una multa de 3.000 € (Tres mil euros), de conformitat amb el que s’estableix en els articles 39.1.c) i 40 de la citada LSSI.”

Esperem que aquest article t’hagi servit per a entendre una mica millor quals són les teves obligacions com a responsable d’una pàgina web i per a saber com has de configurar les cookies per evitar ser sancionat.

Aquest article no pretén substituir l’assessorament d’un expert, ja que s’han de tenir en compte les particularitats de cada cas, per tal de verificar que es compleixen les obligacions o requisits addicionals que puguin ser exigibles segons la normativa aplicable.

Si necessites assessorament sobre com configurar les cookies de la teva pàgina web per evitar ser sancionat contacta amb nosaltres.