Si tienes una página web, deberías saber que estás obligado a cumplir una serie de obligaciones relacionadas con el tratamiento de datos personales. Por lo tanto, debería sonarte el Reglamento Europeo 2016/679 General de Protección de datos (RGPD), la Ley Orgánica 3/2018 de Protección de Datos personales y Garantía de los Derechos Digitales (LOPDGDD) y la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE). En este artículo vamos a repasar las principales novedades respecto al uso de cookies y vamos a explicarte qué debes tener en cuenta a la hora de configurar las cookies de tu web, si quieres cumplir con la normativa vigente y evitar ser sancionado.

En julio de 2020, la Agencia Española de Protección de Datos (AEPD) actualizó la Guía sobre uso de cookies para adaptarla a las directrices sobre el consentimiento en el RGPD, publicadas en mayo del 2020 por el Comité Europeo de Protección de Datos (CEPD), para cuya elaboración se tuvieron en cuenta las recomendaciones del ya cesado grupo de trabajo del artículo 29, así como las últimas resoluciones del Tribunal de Justicia de la Unión Europea sobre el consentimiento en el RGPD y en la Directiva Europea 2002/58 ( a destacar, STJUE de 1/10/2019 asunto C-673/17).

Las nuevas recomendaciones de la AEPD debían aplicarse antes del 31 de octubre de 2020. Por lo tanto, si no has adaptado las cookies de tu web te recomendamos que leas este artículo sobre cómo configurar las cookies de tu web para no ser sancionado.

Repasemos el concepto de cookies y la normativa aplicable

Antes de explicarte cómo configurar las cookies de tu página web para no ser sancionado, consideramos oportuno repasar el concepto de cookies y la normativa aplicable.

Una cookie es un fichero de pequeño tamaño que los sitios web envían al navegador y se descargan en tu ordenador. Las cookies permiten que la página web almacene y recupere la información sobre tu visita, como por ejemplo tu idioma preferido y otras opciones, con el fin de mejorar los servicios que se ofrecen y contribuir a tener una mejor experiencia de navegación para el usuario.

Además de las cookies también existen otro tipo de tecnologías que permiten almacenar y recuperar la información de los usuarios que visitan una web, por ejemplo, los píxeles y los web beacons o bugs.

Según el artículo 22 de la LSSICE, para la utilización de cualquier dispositivo de almacenamiento y recuperación de datos en equipos terminales de los destinatarios (es decir, la utilización de cookies o tecnologías similares):

– Se requiere el consentimiento previo de los destinatarios.

– Y, antes de que el destinatario de su consentimiento se le tiene que informar de forma clara y completa sobre la finalidad del tratamiento de datos.

No será necesario el consentimiento previo de los usuarios cuando se trate de cookies técnicas o tecnologías similares que sean estrictamente necesarias para la prestación del servicio.

Tipos de cookies

 

1. Según la entidad que las gestione

 

a) Cookies propias:

Son aquellas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.

 

b) Cookies de terceros:

Son aquellas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos a través de las cookies. En el caso de que las cookies sean servidas desde un equipo o dominio gestionado por el propio editor, pero la información que se recoja mediante estas sea gestionada por un tercero, no pueden ser consideradas como cookies propias si el tercero las utiliza para sus propias finalidades (por ejemplo, la mejora de los servicios que presta o la prestación de servicios de carácter publicitario a favor de otras entidades).

2. Según su finalidad

a) Cookies técnicas:

Son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, gestionar el pago, controlar el fraude vinculado a la seguridad del servicio, realizar la solicitud de inscripción o participación en un evento, contar visitas a efectos de la facturación de licencias del software con el que funciona el servicio (sitio web, plataforma o aplicación), utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido, habilitar contenidos dinámicos (por ejemplo, animación de carga de un texto o imagen) o compartir contenidos a través de redes sociales.

También pertenecen a esta categoría, por su naturaleza técnica, aquellas cookies que permiten la gestión, de la forma mas eficaz posible, de los espacios publicitarios que, como un elemento mas de diseño o “maquetación” del servicio ofrecido al usuario, el editor haya incluido en una página web, aplicación o plataforma en base a criterios como el contenido editado, sin que se recopile información de los usuarios con fines distintos, como puede ser personalizar ese contenido publicitario u otros contenidos.

Las cookies técnicas estarán exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI cuando permitan prestar el servicio solicitado por el usuario, como ocurre en el caso de las cookies enumeradas en los párrafos anteriores. Sin embargo, si estas cookies se utilizan también para finalidades no exentas (por ejemplo, para fines publicitarios comportamentales), quedarán sujetas a dichas obligaciones.

b) Cookies de preferencias o personalización:

Son aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio, etc.

Si es el propio usuario quien elige esas características (por ejemplo, si selecciona el idioma de un sitio web clicando en el icono de la bandera del país correspondiente), las cookies estarán exceptuadas de las obligaciones del artículo 22.2 de la LSSI por considerarse un servicio expresamente solicitado por el usuario, y ello siempre y cuando las cookies obedezcan exclusivamente a la finalidad seleccionada.

c) Cookies de análisis o medición:

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

Respecto al tratamiento de datos recabados a través de las cookies de análisis, el GT29 manifestó́ que, a pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.

d) Cookies de publicidad comportamental:

Son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

En todo caso, debe tenerse en cuenta que estas tipologías se ofrecen a título orientativo por ser las mas habituales. Los editores y los terceros podrán realizar las categorizaciones que consideren que mejor se ajustan a las finalidades de las cookies que utilizan, de forma que se respete el principio de transparencia frente a los usuarios.

3. Según el plazo de tiempo que permanecen activadas

a) Cookies de sesión:

Son aquellas diseñadas para recabar y almacenar datos mientras el usuario accede a una página web. Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (por ejemplo, una lista de productos adquiridos) y desaparecen al terminar la sesión.

 

b) Cookies persistentes:

Son aquellas en las que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

A este respecto debe valorarse específicamente si es necesaria la utilización de cookies persistentes, puesto que los riesgos para la privacidad podrían reducirse mediante la utilización de cookies de sesión. En todo caso, cuando se instalen cookies persistentes, se recomienda reducir al mínimo necesario su duración temporal atendiendo a la finalidad de su uso.

El Dictamen 4/2012 del Grupo de Trabajo del artículo 29 indicó que para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello, es mucho mas probable que se consideren como exceptuadas las cookies de sesión que las persistentes.

 

Novedades en materia de cookies y tecnologías similares

Ahora sí, a continuación, daremos respuesta a la pregunta que da título a este artículo, ¿Cómo debo configurar las cookies de mi web para no ser sancionado?, detallando las principales novedades en materia de cookies que recoge la guía de la AEPD:

  • Seguir navegado o scroll

    Según el CEPD y la AEPD, el consentimiento del usuario debe ser claro e inequívoco, por ello el hecho de que los usuarios sigan navegando o hagan scrolling en el sitio web en ningún caso podrá entenderse como una forma de prestar el consentimiento y aceptar las cookies. Por lo tanto, el silencio o inactividad del usuario no podrá ser considerado como un acto afirmativo que refleje su consentimiento.

  • Muros de cookies:

    Un muro de cookies es una ventana que aparece justo al entrar en una web con la información sobre cookies o condiciones de la web que estas visitando, que te impide seguir navegando por la web o acceder al contenido hasta que no le des al botón de aceptar que aparece en dicha ventana. Según el CEPD, los muros de cookies no son una forma válida de recabar el consentimiento de los usuarios, ya que dicho consentimiento no se entiende como prestado libremente, puesto que se condiciona el acceso a los servicios y funcionalidades de la web a la aceptación del usuario.

    No obstante, según la guía sobre uso de cookies de la AEPD, podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al usuario y se le ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. Según el CEPD, los servicios de ambas alternativas deberán ser genuinamente equivalentes, sin que sea válido que el servicio equivalente lo ofrezca una entidad ajena al editor.

  • Información por capas:

    Se recomienda el uso de declaraciones o avisos de privacidad por niveles, esto es, que contengan la información en capas, de modo que se permita al usuario ir a aquellos aspectos de la declaración o aviso que sean de mayor interés para él. De esta forma se evita la fatiga informativa del usuario. Pese a lo anterior, también se debe ofrecer la posibilidad al usuario de que acceda fácilmente a un único lugar de la página web o documento completo en el que se detalle la totalidad de la información, por si este desea consultarla en su totalidad.

    Un sistema de avisos de privacidad o cookies por capas sería:

     

    1ª capa: En el momento en el que el usuario accede a la web se le detalla la siguiente información esencial (esta información deberá mantenerse en la pantalla hasta que el usuario acepte las cookies, las configure o las rechace):

– Datos de identificación del responsable: No obstante, no será necesaria la denominación social, siempre que los datos identificativos completos figuren en otras secciones del sitio web, como por ejemplo en el aviso legal o en la política de privacidad, y su identidad pueda desprenderse de forma evidente del propio sitio web, como por ejemplo, cuando el propio dominio se corresponda con el nombre del editor o la marca con la que se identifica frente al público o dicho nombre o marca figuren claramente en el sitio web.

 

Finalidades de las cookies que utiliza la web: Diferenciando entre cookies propias o de terceros (no es necesario identificar a los terceros en esta primera capa).

Información genérica sobre elaboración de perfiles de los usuarios: Detallando los tipos de datos que se van a recopilar y utilizar para elaborar perfiles de los usuarios (por ejemplo, cuando se utilicen cookies de publicidad comportamental).

La forma de aceptar, configurar y rechazar las cookies: Advirtiendo al usuario que, si realiza una determinada acción, se entenderá que ha aceptado o rechazado el uso de cookies.

Un enlace claramente visible que dirija a una segunda capa informativa: En esta segunda capa se incluye información mas detallada y se ofrece la posibilidad de configurar las cookies.

 

2ª capa o 3ª capa: En esta última capa deberá detallarse toda la información relativa al uso de cookies o tecnologías similares en el sitio web. Esta capa deberá estar disponible de forma permanente en un único lugar del sitio web o documento y, además, deberá ser fácilmente accesible.

En esta capa debe incluirse:

– La definición y función genérica de las cookies.

– El tipo de cookies que se utilizan y su finalidad.

– Identificación de quién utiliza las cookies.

– La forma de aceptar, denegar o revocar el consentimiento para el uso de cookies.

– La información sobre las transferencias de datos a terceros países realizadas por el responsable (en caso de realizarse).

– El periodo de conservación de los datos personales.

– La lógica utilizada para la elaboración de perfiles y para la toma de decisiones automatizadas (en caso de realizarse), advirtiendo al usuario sobre la importancia y consecuencias previstas de dicho tratamiento en los términos del artículo 13.2.f) del RGPD.

Para el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el responsable de la pagina web podrá remitir a la política de privacidad, donde si que será necesario que se detalle dicha información.

  • Aceptación o rechazo del usuario y requisitos del aviso de cookies:

    Se debe ofrecer al usuario la posibilidad de rechazar las cookies sin que ello, tal y como se comentaba anteriormente, le impida navegar o acceder al contenido o servicios de la página web.

    La aceptación de las cookies ha de separarse de la aceptación de los términos y condiciones de uso o de la política de privacidad.

    No se podrán pre-marcar las casillas opcionales de cookies, debe ser el usuario el que las active manualmente o bien, al indicar que acepta la totalidad de las cookies. De lo contrario, se entenderá que el usuario no ha dado su consentimiento libremente. 

    Las únicas cookies que podrán pre-marcarse como activas sin que el usuario de su consentimiento serán aquellas cookies técnicas que sean estrictamente necesarias para la prestación del servicio o de los servicios. 

    Como regla general, siempre que un consentimiento haya sido obtenido de forma válida, no será́ necesario obtenerlo cada vez que un usuario visite de nuevo la misma página web desde la que se presta el servicio. No obstante, la AEPD recomienda que el consentimiento para el uso de una determinada cookie se actualice, como máximo, cada 24 meses.

    Si cambian los fines de uso de las cookies o los terceros que hacen uso de estas deberá actualizarse la política de cookies y la política de privacidad, y volver a solicitar el consentimiento de los usuarios que hubieran aceptado las cookies antes de los cambios.

    Siempre se deberá ofrecer un mecanismo sencillo que permita al usuario, en cualquier momento, retirar su consentimiento sobre el uso de cookies.

 

¿Que pasa si no adapto las cookies de mi web a las recomendaciones de la AEPD?

Tras la publicación de la guía de cookies en julio de 2020, la AEPD estableció un periodo transitorio para que los responsables de páginas web se adaptasen a los nuevos criterios. Dicho periodo transitorio finalizó el pasado 31 de octubre de 2020, de modo que a partir de dicha fecha todos los responsables de páginas web que no cumplan con los nuevos criterios de cookies podrán ser sancionados.

La LSSICE permite la aplicación de sanciones de hasta 30.000€ por incumplimientos relacionados con las cookies, por su parte, el RGPD establece que las sanciones serán como mínimo del 2% del volumen de negocio total anual global del ejercicio financiero anterior (en el caso de empresas) y como máximo de 20.000.000€.

Aquí os dejamos las últimas sanciones impuestas por la AEPD por incumplimientos relacionados con cookies:

 

Sanción a Twitter

Procedimiento sancionador: 00299/2019

Motivo de la sanción: Al acceder a la página web y sin haber realizo ningún otro tipo de acción, se instalan varias cookies en el navegador, entre ellas, algunas de tipo desconocido y otras de publicidad.

Fallo de la resoluciónPRIMERO: IMPONER a la entidad TWITTER INTERNATIONAL COMPANY (TWITTER SPAIN, S.L.), con CIF. B86672318, titular de la página web: www.twitter.com , una sanción de 30.000 euros (treinta mil euros), por infracción del artículo 22.2) de la Ley LSSI, tipificada como “leve” en el artículo 38.4.g) de la citada Ley”

– Sanción a Iberia

Procedimiento sancionador: 00032/2020

Motivo de la sanción: Muro de cookies con información poco clara y detallada que no permite seguir navegando hasta aceptar las cookies o configurarlas. Además, no se ofrece al usuario la opción de rechazar todas las cookies a la vez.

Fallo de la resolución“PRIMERO: IMPONER a la entidad IBERIA LÍNEAS AÉREAS DE ESPAÑA, S.A. OPERADORA UNIPERSONAL (IBERIA) con CIF: A85850394, titular de la página web: ***URL.1 una sanción de 30.000 euros (treinta mil euros), por infracción del artículo 22.2. de la LSSI.”

 

– Sanción a Navas Joyeros SL

Procedimiento sancionador 00321/2013

Motivo de la sanción: Incumplir el deber de información previo al recoger datos personales de los interesados a través de los formularios habilitados en los diferentes sitios web de su titularidad sin incluir en los mismos la información en materia de protección de datos que exige la norma.

No informar a los visitantes de sus sitios web de forma clara y completa sobre el uso de cookies y las finalidades pretendidas al recuperar los datos almacenados, tal y como exige el artículo 22.2 de la LSSICE.

Fallo de la resolución:  “PRIMERO: IMPONER a la entidad NAVAS JOYEROS IMPORTADORES, S.L., por una infracción del artículo 5.1 y 2 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 1.500 € (Mil quinientos euros), de conformidad con los apartados 1 y 4 del artículo 45 de la citada Ley Orgánica.

SEGUNDO: IMPONER a la entidad NAVAS JOYEROS IMPORTADORES, S.L., por una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4.g) de dicha norma, una multa de 3.000 € (Tres mil euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.”

Esperamos que este artículo te haya servido para entender un poco mejor cuales son tus obligaciones como responsable de una página web y para saber como debes configurar las cookies de tu página web para no ser sancionado.

Este artículo no pretende substituir el asesoramiento de un experto, ya que se deben tener en cuenta las particularidades de cada caso, para verificar que se cumplen las obligaciones o requisitos adicionales que puedan ser exigibles según la normativa aplicable.

Si necesitas asesoramiento sobre como configurar las cookies de tu página web para evitar ser sancionado contacta con nosotros.