Guía sobre Cookies
El tratamiento de datos a través de las Cookies viene regulado por el artículo 22 de la LSSICE, refiriéndose a la instalación de cookies y tecnologías similares utilizadas (tales como local shared objects o flash cookies, etc.) para almacenar y recuperar datos de un equipo terminal (por ejemplo, un ordenador, un teléfono móvil, o una Tablet) de una persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información.
En este sentido, cuando la instalación o utilización de una cookie conlleve el tratamiento de datos de carácter personal, se deberá cumplir con lo dispuesto por la normativa en materia de protección de datos.
A continuación, se procederá a llevar a cabo una aproximación al concepto de cookie, se analizarán y describirán los diferentes tipos de cookies, así como, se identificarán los requerimientos exigidos para estar al corriente con la normativa en relación con el tratamiento de determinados tipos cookies.
Concepto de cookie
La Cookie es un tipo de archivo que se descarga en un dispositivo o equipo y que tiene como objetivo almacenar datos personales.
Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario.
Tipos de cookies
En función del tratamiento de las cookies se distinguen los siguientes tipos:
Cookies técnicas: son aquellas necesarias para que un usuario pueda navegar a través de una app, página web o plataforma. Se suelen utilizar para identificar una sesión, permitir un acceso a una zona restringida, recordar los elementos incluidos en un pedido online, almacenar contenidos de video y audio para su posterior difusión a través de redes sociales, etc.
Cookies de personalización: aquellas que permite al usuario navegar en base a alguna característica especial entre todas las definidas para el servicio, por ejemplo, el idioma del usuario, el tipo de navegador, la configuración regional desde donde se accede, etc.
Cookies de análisis: estas cookies se utilizan para llevar a cabo un análisis de los comportamientos y acciones de los usuarios de los sitios webs vinculados a las mismas, así como para la elaboración de perfiles de navegación con el fin de realizar mejoras técnicas.
Cookies publicitarias: permiten una gestión eficiente de espacios publicitarios en base a una serie de criterios que el anunciante estime, por ejemplo, verificar si el usuario ha tenido ya acceso o no a una noticia para proceder a actualizarla con una u otra nueva.
Cookies de publicidad comportamental: en este caso, estas cookies se encargan de almacenar información del propio comportamiento de los usuarios centrándose en los hábitos de cada navegación. Esto permite establecer perfiles de usuario en función de su comportamiento y utilizarlos para focalizar la publicidad presentada.
Conviene tener en cuenta que no todas las cookies están sometidas a la normativa, es decir que, en función del tipo de cookies que utilice el propietario de la web estará obligado a cumplir una serie de obligaciones en materia de protección de datos o no.
A continuación, se procede a realizar un análisis pormenorizado de las cookies sometidas y las que no lo están a la normativa en materia de protección de datos.
En este sentido, las cookies operativas, técnicas, de personalización o configuración se encuentran exentas del deber de obtención del consentimiento informado del usuario.
Por su parte, el Grupo de Trabajo del Artículo 29 ha enumerado las cookies que estarían exceptuadas, destacando aquellas que se usan por ejemplo para validar una sesión, autenticar la identidad de un usuario, las propias de seguridad, las de sesión de reproductores multimedia, de personalización de la interfaz del usuario o aquellas que sirven de complemento para intercambiar contenidos en redes sociales.
Por tanto, las cookies que se ven afectadas y que se deben tener en cuenta son:
- Cookies de análisis: que permiten estudiar la actividad de cada usuario realizando estadísticas. Aquí se podrían englobar cookies de terceros utilizadas a nivel mundial como pueden ser Google Analytics, Adobe SiteCatalyst, Yahoo Web Analytics, etc.
- Cookies publicitarias o de publicidad comportamental: como ya hemos visto, son cookies que recopilan información sobre los usuarios para trasladarles publicidad personalizada, en este tipo podríamos destacar las utilizadas por Google Adwords o Google Ad Sense.
Obligaciones en el tratamiento de las cookies
Como se puede observar, existen diferentes clases de cookies muy dispares entre sí, que difieren fundamentalmente con relación a la finalidad o labor que desempeñan. Este tipo de tecnología viene regulada en la LSSICE concretamente en su artículo 22.2. En este sentido, la ley consciente del poder de las cookies exigió que toda organización que utilice esta tecnología (a través de su web, aplicaciones o plataformas) informe y obtenga obligatoriamente el consentimiento de los usuarios en relación con este tratamiento, de forma que los mismos sean conscientes del uso de sus datos y de las finalidades para las que serán tratados.
A continuación, se propone el siguiente método de obtención del consentimiento informado establecido a través de un sistema de capas:
Primera Capa (Ventana emergente uso de cookies):
La primera capa debe contener la solicitud del consentimiento e información esencial de las cookies y un enlace a una segunda capa que proporcione información más detallada.
Según Directrices 05/2020 emitidas en el mes de mayo del año 2020 por el Comité Europeo de Protección de Datos (CEPD) relativas al consentimiento.
-
Se elimina la opción de «seguir navegando» como válida para prestar el consentimiento:
el CEPD considera que esta opción no constituye en ninguna circunstancia un método correcto para facilitar el consentimiento en la medida en que tales acciones pueden ser difíciles de diferenciar de otras interacciones realizadas por un usuario, por lo que no sería posible determinar que el consentimiento es inequívoco.
-
No es posible el uso de los «muros de cookies» (cookies walls) si no se ofrece una alternativa al consentimiento:
el Comité ha determinado que para que un consentimiento pueda darse de manera libre, el acceso al contenido o servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies. En este sentido, las Directrices del CEPD indican que podrá existir algún supuesto como el anterior descrito siempre y cuando:
- Se informe al usuario
- Se ofrezca una alternativa de acceso al servicio que no implique el uso de cookies.
- El servicio alternativo sea genuinamente equivalente al ofrecido en la web y no sea ofrecido por una entidad ajena al editor.
Segunda Capa (Política de Cookies):
En la segunda capa se deberá explicar de una manera más clara: que son las cookies, que tipo de cookies utiliza la página web, su finalidad, como puede desactivarse o eliminar y, por último, si se tratan de cookies propias o de terceros. Lo que se conoce como la Política de Cookies.
En los casos en que el usuario no manifieste expresamente si acepta o no la instalación de las cookies, pero ha decidió continuar usando la página web se podía entender que se ha proporcionado el consentimiento, siempre y cuando se haya informado debidamente y se ofrezca de modo permanente información sobre la utilización de las cookies y la posibilidad de desinstalarlas, lo que implicaría la necesidad de que la Política de Cookies esté presente a modo de enlace no solo en la página principal sino también en cada una de las páginas subordinadas de la web.