Uso de cookies: nuevas directrices

0
Share

Por José Luis Camilleri, director de Souten Consultores

«Para seguir leyendo, acepta el uso de cookies». Seguro que es la frase que más veces observas cada vez que haces una búsqueda en Internet. Pero, ojo, porque la gran mayoría desconoce qué está aceptando.

Si algo ha quedado claro a muchos propietarios de negocios y autónomos en este último año, es que tener una web es una de las vías de escape para salir a flote. Muchos han optado, o bien por crearla de cero, o bien por actualizarla. Pero, ¿cumplen estas webs con la normativa de cookies? Presta mucha atención a este artículo, y cualquier duda o aclaración nos encantaría leerla en los comentarios.

La importancia del nuevo uso de cookies

El pasado 31 de octubre finalizó el plazo de adaptación a las nuevas directrices de la Agencia Española de Protección de Datos (AEPD) relativa a la utilización de cookies y tecnologías similares. Estas directrices fueron publicadas en la actualización de la “Guía sobre el uso de las Cookies” de fecha 20 de julio de 2020.

Hasta esa fecha, la autoridad española, mantenía una postura casi excepcional en la Unión Europea permitiendo la aceptación de las cookies mediante la fórmula “si continúa navegando autoriza el uso de las cookies”, mecanismo que en principio no parecía muy acorde con la definición del consentimiento que se realiza en el Reglamento General de Protección de Datos, que parte de la premisa de que el consentimiento debe ser una clara acción afirmativa.

¿Por qué se publica esta nueva edición de la Guía de la AEPD y qué cambios contiene en su regulación?

Hemos de retroceder hasta el pasado 4 de mayo, cuando  el Comité Europeo de Protección de Datos (CEPD), publicó la guía sobre el consentimiento en el Reglamento General de Protección de Datos. En esta guía se abordan dos cuestiones que hasta el momento habían generado controversia:

  • ¿Es válido el consentimiento de una persona para el uso de las cookies en una web o una aplicación cuando el acceso al servicio o a la funcionalidad está condicionado a la aceptación de las cookies?
  • ¿Es válido el consentimiento para la aceptación de las cookies por realizar un simple scroll en la web?

Respecto a la primera cuestión, el CEPD es claro al indicar que el consentimiento no puede supeditarse a aceptar el almacenamiento o la utilización de cookies que ya se encuentren almacenadas en los dispositivos de los usuarios. 

Esta “condicionalidad” va en la dirección opuesta a las características que ha de tener el consentimiento según el Reglamento General de Protección de Datos, que ha de ser “libre, específico, informado e inequívoco”. En este caso en particular, para que el consentimiento sea libre no se puede hacer depender el acceso a una web o aplicación a la aceptación de cookies que no sean estrictamente necesarias para el correcto funcionamiento.

Este mecanismo es conocido como “Muro de cookies” o “Cookie walls” y se considera que es una práctica contraria a los principios de la normativa en protección de datos.

En relación con la segunda pregunta, el CEPD dictamina que la simple navegación a través de una web o realizar scroll a través de la misma no pueden ser consideradas una clara acción afirmativa, por lo cual, no es un medio suficiente para obtener el consentimiento del usuario.

¿Qué debo hacer para cumplir la normativa de cookies?

A modo de resumen y sin ser exhaustivos, puesto que hay numerosos detalles que requerirían de un estudio mucho más detallado, podemos sistematizar el proceso en cuatro fases:

  • 1º Conocer qué cookies utiliza mi web o aplicación

Aunque pueda parecer una cuestión obvia, realmente es el punto más importante. Tenemos que inventariar todas las cookies que utiliza nuestra web o aplicación, y en ese momento puede que detectemos cookies que desconocíamos utilizar porque venían asociadas al uso de determinados plugins o complementos.

Hay unas categorías de cookies que se encuentran exceptuadas del deber de informar y obtener el consentimiento de los usuarios, que son las siguientes:

  • Cookies de “entrada del usuario”.
  • Cookies de autenticación o identificación de usuario (únicamente de sesión).
  • Cookies de seguridad del usuario.
  • Cookies de sesión de reproductor multimedia.
  • Cookies de sesión para equilibrar la carga.
  • Cookies de personalización de la interfaz de usuario.
  • Determinadas cookies de complemento (plug-in) para intercambiar contenidos sociales.

Por lo tanto, si solo usamos este tipo de cookies en nuestra web o aplicación, no tendremos que implementar los pasos 2, 3 y 4. No obstante, como ejemplo de transparencia, es aconsejable informar de esta circunstancia en nuestro servicio. Un ejemplo de cómo proceder en este caso lo encontramos en el sistema de información de cookies de la propia Agencia Española de Protección de Datos.

  • 2º Clasificar las cookies según su finalidad y su procedencia

Según el origen la entidad que gestione el dominio desde donde se envían las cookies  éstas pueden ser “Propias” o de “Tercero”.

Si atendemos a la finalidad de las cookies, podemos clasificarlas en:

  • Técnicas.
  • De preferencias o personalización.
  • Analíticas o de medición
  • De publicidad comportamental.

Por último, según su duración, las cookies pueden ser de “sesión” o “persistentes”.

  • 3º Informar sobre las cookies que utilizamos

La información ha de ser clara y sencilla, de forma que el usuario pueda de conocer con claridad qué cookies se utilizan. Una de las formas que mejor cumple este objetivo de sencillez es la información en dos capas:

  • Una primera capa en forma de banner o pop up con la información resumida: 

Informar si se usan cookies propias o de terceros, una breve descripción de la finalidad de estas cookies, y la forma de la que se pueden aceptar o rechazar las cookies. Esta primera capa informativa, debe tener un enlace a la segunda capa de información, que contendrá la información detallada.

  • Una segunda capa informativa en la que detallaremos la información pormenorizada de nuestra política de cookies.
  • 4º Obtener el consentimiento

Para la utilización de las cookies no exceptuadas (ver relación de estas cookies en el primer punto) será necesario en todo caso obtener el consentimiento del usuario.

En este punto enlazamos con el comienzo del artículo: hay que recordar que la mera navegación a través de la web no es suficiente para consentir el uso de las cookies, y que por otro lado, no puede denegarse el acceso al servicio en caso de rechazo de las cookies.

Para obtener el consentimiento en un sistema de información por capas, hemos tener en cuenta los siguientes pasos:

  1. La primera capa informática, junto con la información esencial, debe incluir la solicitud del consentimiento.
  2. Una forma válida de obtención del consentimiento puede consistir en hacer click sobre un botón de aceptación de las cookies.

Las nuevas directrices para el cumplimiento normativo en relación con las cookies y tecnologías similares, suponen un nuevo reto para autónomos y empresas en un contexto normativo que cambia frecuentemente. 

Ciertamente, cada vez se recaba más información a través del uso de estas tecnologías, e implementar un sistema que aporte transparencia al uso que se hará de la información de los usuarios, no solo evitará el incumplimiento normativo y la posible sanción económica, sino que se traduce en beneficios en la confianza y en el valor de nuestra marca. 

Post relacionados
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *