Nueva vuelta de tuerca a la regulación de las cookies, condicionada su limitación por los planes de Google y con un importante volumen de inversión en publicidad digital en juego, la Unión Europea, a través del Comité Europeo de Protección de Datos, ha emitido una nueva Directiva que viene a modificar la gestión de cookies, es especial, lo relativo a la aceptación y rechazo de las cookies por los usuarios.
Normativa afectada:
- Ley 34/2002, de 11 de julio, de servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI).
- Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril, General de Protección de datos (el RGPD o GPRD)
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD).
- A futuro, propuesta de Reglamento sobre el respeto de la vida privada y la protección de datos personales en el sector de las comunicaciones electrónicas, que regulará la protección de la información almacenada en los equipos de los usuarios,
Fecha límite de adaptación a los requerimientos
11 de enero de 2024
Antecedentes
Antes de entrar en los cambios regulatorios que afectan a la gestión de las cookies, vamos a recordar y concretar a quien afecta.
Lo que se ha venido a conocer como la “Ley de Cookies” se concreta en el Artículo 22 de la LSSI.
El articulo 22 de la LSSI viene a regular la utilización de cookies y tecnologías similares utilizadas, tales como:
• local shared objects o flash cookies (unas “super cookies” que almacenan una vasta cantidad de información, que son independientes del navegador utilizado y por tanto, mucho más difíciles de localizar por el usuario medio).
• Web beacons o bug (imágenes imperceptibles que se instalan al visitar una Web, se almacenan en un tercero y que permiten a este registrar al usuario de la Web mediante la información que proporciona el navegador: dirección IP, S.O., versión del navegador, tipo de equipo, etc)
Con la finalidad de almacenar y recuperar datos de un equipo (un ordenador, un teléfono móvil o una tablet) de una persona que utiliza un servicio de la sociedad de la información.
Esta norma también aplica al empleo de técnicas de “fingerprinting”, es decir, a las técnicas de toma de la huella digital del dispositivo.
El Artículo 22.2 de la LSSI vincula la obtención del consentimiento para el uso de cookies a la información que se facilite al usuario, de modo que el consentimiento que, en su caso, otorgue el usuario sea informado, por tanto, incardina directamente con la regulación de los tratamientos de datos del RGPD y la LOPD-GDD.
Así, cuando al utilizar cookies realicemos un tratamiento de datos personales, los responsables de tal tratamiento deberán asegurarse del cumplimiento de las exigencias establecidas por la normativa de protección de datos personales.
Siempre e considerará que existe tratamiento de datos personales cuando el usuario afectado por la cookie esté identificado por un nombre o dirección de correo electrónico que lo identifique (los usuarios registrados) o cuando se utilicen identificadores únicos que permitan distinguir unos usuarios de otros y realizar un seguimiento individualizado de los mismos (por ejemplo, mediante un ID de publicidad).
Es importante tener en cuenta que quedan fuera de regulación, siendo su uso libre, no sujeto a autorización por el usuario de las cookies que tengan las siguientes finalidades:
1. Permitan la mera comunicación entre equipo del usuario y la red de Internet.
2. Se de deban exclusivamente a un servicio expresamente solicitado por el usuario.
3. Cookie de “entrada del usuario” a la Web
4. Cookie de sesión limitada a la autentificación o identificación del usuario.
5. Cookie de seguridad.
6. Cookie para la sesión de reproducción multimedia.
7. Cookie de sesión para equilibra la carga.
8. Cookies de personalización de la interfaz. Las decisiones de personalización tomadas por el propio usuario, NO las cookies empleadas por el soporte en base a la información que del usuario pueda tener.
9. Cookies complementarias para iniciar intercambio de contenidos en redes sociales.
Por tanto, será necesario informar y obtener el consentimiento para la utilización de cualquier otro tipo de cookies, tanto de propias como de terceros, de sesión o persistentes, aunque es una recomendación comúnmente acepta, en aras a la transparencia, informar – aunque sea genéricamente – respecto de aquellas cookies excluidas de regulación.
Llegados a este punto, ¿quién es el responsable del cumplimiento de las obligaciones de información respecto del uso de las cookies y de la obtención del consentimiento?
Los responsables en la gestión de las cookies.
La LSSI no define quien es el responsable de cumplir con la obligación de facilitar información sobre las cookies y obtener el consentimiento para su uso, por lo que será necesario que todos aquellos participantes en la utilización de cookies colaboren, para asegurar el cumplimiento de las exigencias legales.
De forma muy resumida las partes interesadas en la gestión de las cookies son:
1. El usuario del servicio de la sociedad de la información que usa cookies, como sujeto destinatario de estas e interesado en la prestación del consentimiento o rechazo a las mismas.
2. El soporte: cualquier entidad prestadora de servicios de la sociedad de la información, titular de una página Web u otra aplicación a los que puede acceder un usuario y para cuya prestación se utilizan cookies.
3. El soporte vendedor, también conocidos como Publisher, que además de prestar un servicio de la sociedad de la información, ofrecen espacios publicitarios a anunciantes – que usen cookies -.
4. Anunciantes. Entidad cuyos productos, servicios o imagen se publicitan a través de los espacios publicitarios que ponen a disposición los editores en sus páginas u otras aplicaciones desde las que prestan los servicios a los usuarios.
5. Los distintos intermediarios entre los soportes y los anunciantes: agencias de publicidad y medios, así como, las redes publicitarias.
6. Entidades de medición y análisis. Son las empresas que miden y analizan la navegación de los usuarios y, para ello, requieren el uso de cookies.
7. Proveedores de herramientas para la gestión del consentimiento. Se encargan de presentar la información para la obtención del consentimiento y aplicar las preferencias del usuario.
Así, en los casos en que un soporte ofrece a los usuarios un servicio y todas las cookies utilizadas en su página Web se utilizan exclusivamente para las finalidades respecto de las que no es necesario obtener el consentimiento, tanto si son propias como de terceros, no será necesario que informe de su utilización ni que obtenga el consentimiento de los usuarios.
Lo señalado no es óbice para que, en caso de utilizar cookies de terceros, establezca una relación contractual con estos terceros que garantice el no tratamiento de los datos con finalidad distinta de la de prestar el servicio a los usuarios. Si estos terceros usaran los datos para otra finalidad distinta, será necesario informar y obtener el consentimiento.
Para el supuesto que el editor use cookies propias o de terceros, con finalidad NO exceptuada de las obligaciones de informar y de obtener el consentimiento, será́ necesario que informe sobre las finalidades para las se tratarán los datos y obtenga el consentimiento del usuario
Es importante resaltar que los titulares de las cookies, cuando determinen los fines y los medios del tratamiento, son responsables de la información personal que recogen aquellas y de los tratamientos de datos que se realizan.
Así, anunciantes, soportes, agencias, redes publicitarias y otros agentes intervinientes serán responsables del tratamiento cuando utilicen cookies propias y cuando, utilizando cookies de terceros, participen en la determinación de los fines y medios del tratamiento, aunque este se realice a través de un encargado del tratamiento, como por ejemplo cuando un anunciante contrata a una agencia de medios para que realice los tratamientos bajo su dirección y de acuerdo con sus instrucciones.
Cada responsable del tratamiento responderá del concreto tratamiento que realice. En aquellos casos en los que concurran diferentes responsables del tratamiento, cada uno de ellos asumirá su respectiva responsabilidad.
En aquellos casos en los que las entidades intervinientes (anunciantes, agencias, redes publicitarias y soportes) determinen conjuntamente las finalidades y los medios del tratamiento, serán consideradas corresponsables del tratamiento y deberán cumplir lo dispuesto en el Artículo 26 del RGPD.
¿Cómo facilitar la información y gestionar el consentimiento al uso de cookies?
En este punto es donde encontramos las principales novedades de las Directrices 3/2022, publicada en 2023.
Es importante, como novedad, destacar que sea cuan sea la modalidad de obtener el consentimiento, la opción de rechazo al uso de cookies debe ofrecerse al usuario al mismo tiempo, con el mismo nivel de importancia y la misma visibilidad que la opción de su aceptación, sin remisión a capas o sitios distintos.
Para solicitar el consentimiento:
a) La información debe ser concisa, transparente e inteligible, utilizando un lenguaje claro y sencillo, al alcance del usuario medio al que se dirige el servicio.
b) La información ha de ser de fácil acceso, no debe quedar oculta y visible bajo un término de uso común como “política de cookies” o “cookies”.
c) La información se presenta por capas, una primera a modo de resumen, claro y sintético que incluya la identificación del soporte; las finalidades de las cookies; si estas son propias o de terceros; los datos que se van a recopilar; forma en las que el usuario puede configurar, aceptar y rechazar las cookies; y un enlace a la segunda capa informativa, la cual debe encontrase de forma permanente en el sitio Web o en la aplicación, con toda la información amplia.
Toda esta información se facilitará antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.
En la forma de presentación de la información: (a) el usuario no podrá tener la impresión de que tiene que aceptar obligatoriamente las cookies para navegar por la Web; (b) no se podrá condicionar al usuario a aceptar las cookies y (c) el color o contraste del texto y los botones no podrán ser engañosos para los usuarios, de forma que lleven a un consentimiento involuntario.
IMPORTANTE: El Comité Europeo de Protección de Datos ha establecido que seguir navegando no es una forma válida de prestar el consentimiento. De igual modo, la navegación para la consulta de la segunda capa informativa, así como la navegación necesaria para que el usuario gestione sus preferencias en relación con las cookies no es una conducta de la que pueda derivarse la aceptación de cookies por el usuario.
Por último, para que el consentimiento se entienda válidamente consentido el acceso a los servicios y funcionalidades no debe supeditarse a la aceptación por el usuario del uso de cookies, aunque en supuestos fundamentados puede darse que se impida el acceso al sitio Web o la utilización total o parcial del servicio siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies.
ESTE ARTÍCULO TIENE EXCLUSIVAMENTE CARÁCTER DIVULGATIVO Y EDUCATIVO, NO DEBE CONSIDERARSE COMO ASESORAMIENTO JURÍDICO.
David García Fdez. de Peraleda
Abogado IT/IP. Asesor de Empresas
Soluteca NetLegal
https://soluteca.com
Registro propiedad intelectual 2309075271505
Se permite el uso no comercial con atribución de autoría
https://www.safecreative.org/work/2309075271505
Créditos imagen 195207001 123RF