La Agencia Española de Protección de Datos junto con las asociaciones Adigital, Autocontrol y la IAB, presentó el pasado día 29 de abril, la nueva guía sobre el uso de las cookies. La guía presenta diversas
opciones para cumplir con las obligaciones impuestas por la modificación del artículo 22 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad dela Información y de Comercio Electrónico (LSSI).
Acompaño un resumen de la guía o normas de uso de cookies:
Alcance de las normas de uso
La guía recoge lo establecido en el art 22 de la LSSI y se refiere a la instalación de cookies y tecnologías similares ( tales como local shared objects o flash cookies, etc ) utilizadas para almacenar y recuperar datos del equipo terminal de una persona física o jurídica que utiliza, sea por motivos profesionales o no, un servicio de la sociedad de la información.
Cuando la instalación de cookies conlleve el tratamiento de datos personales, los responsables del tratamiento deberán informar al usuario y obtener su consentimiento.
Quedan exceptuadas del cumplimiento del art. 22.2 las cookies utilizadas para las siguientes finalidades:
- Permitir únicamente la comunicación entre el equipo
del usuario y la red.
- Estrictamente prestar un servicio expresamente solicitado
por el usuario.
En esa línea, según la interpretación del Dictamen 4/2012 del Grupo de Trabajo del Artículo 29, quedarían exceptuadas del alcance de la normativa las siguientes cookies que tienen por finalidad:
- Cookies de entrada del usuario.
- Cookies de autenticación o identificación de
usuario.
- Cookies de seguridad del usuario.
- Cookies de sesión de reproductor multimedia.
- Cookies de sesión para equilibrar la carga.
- Cookies de personalización de la interfaz de
usuario.
- Cookies de complemento (plug-in) para intercambiar
contenidos sociales.
El citado Dictamen también indica que para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello es mucho más probable que se consideren como exceptuadas las cookies de sesión que las persisten
Definición de cookie y tipologías
La LSSI define cookie como cualquier tipo de archivo o dispositivo que se descarga en el equipo terminal de un usuario con la finalidad de almacenar datos que podrán ser actualizados y recuperados por la entidad responsable de su instalación.
Las cookies pueden clasificarse en una serie de tipologías según:
La entidad que las gestione
- Cookies propias.
- Cookies de tercero.
El plazo que permanecen activadas
- Cookies de sesión.
- Cookies persistentes.
Su finalidad:
- Cookies técnicas.
- Cookies de personalización.
- Cookies de análisis.
- Cookies publicitarias.
- Cookies de publicidad comportamental
Obligaciones de las partes
Se imponen dos obligaciones: el deber de información y la obtención de consentimiento.
Se recomienda un estudio previo para conocer qué cookies se utilizan, si son propias o de terceros,
de sesión o permanentes y su finalidad.
1) Deber de información
1.a) Información que debe proporcionarse:
Según lo establecido en el artículo 22.2 de la LSSI,debe facilitarse:
- Información clara y completa.
- Información sobre los fines del tratamiento de los datos.
- Información sobre cómo revocar el consentimiento y eliminar las cookies, a disposición del usuario de forma accesible y permanente
1.b) Información de calidad, accesible y visible
Se recomienda tener en cuente el tipo de usuario al que se dirige la página web, pero considerando que en el momento actual el nivel de conocimiento de los usuarios sobre las cookies y su gestión es muy reducido. Asimismo, con el fin de garantizar que la información que se está proporcionando es adecuada, debe tenerse en cuenta la accesibilidad y visibilidad de la citada información. Por este motivo, se entenderá que se ha informado correctamente al usuario cuando se utilicen uno
de las siguientes formas:
- Formato enlace: Incrementando su tamaño, con fuente
diferente al del resto de los enlaces.
- Posicionamiento del enlace: Ubicar el enlace en
zonas que capten la atención de los usuarios.
- Denominación descriptiva e intuitiva para el enlace:
Ejemplo, “Política de cookies”, utilización de una imagen o icono descriptivo o
intuitivo.
- Encuadrar o subrayar el enlace.
1.c) Sistemas para proporcionar la información
Los métodos más comunes para facilitar la información necesaria son:
- Barra de encabezamiento o pie de página de forma
suficientemente visible.
- Al solicitar el alta en un servicio o antes de descargare un servicio o una aplicación, junto a la política de privacidad o condicionesde uso, de forma destacada y separada del resto de información. Si es necesario obtener el consentimiento para la instalación de cookies por parte de usuarios ya registrados, habrá que informar sobre los cambios realizados en el tratamiento de cookies.
- Información en dos capas: En cada una de las capasse incluiría la siguiente información:
Primera capa:
- Advertencia del uso de las cookies no exceptuadas.
- Identificación de las finalidades de las cookies que
se instalan. - Advertencia de que si se realiza una determinada
acción, se entenderá que el usuario acepta el uso de las cookies. - Enlace a la segunda capa informativa donde se
incluye información más detallada.
Segunda capa:
- Definición y función de las cookies.
- Cuadro o listado sobre el tipo de cookies que
utiliza la página web y su finalidad. - Forma de desactivar o eliminar las cookies.
- Información sobre la identificación de quién utiliza
las cookies.
2) Obtención del consentimiento
Para la instalación y utilización de las cookies no exceptuadas será necesario en todo caso obtener el consentimiento del usuario.
Este consentimiento podrá obtenerse mediante los siguientes métodos
- Al solicitar alta en un servicio junto aceptando la
política de privacidad o condiciones de uso de la página web.
- Durante el proceso de configuración del
funcionamiento de la página web o aplicación.
- En el momento en el que se solicite una nueva
función ofrecida en la página web o aplicación.
- Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido en la página web.
- A través del formato de información por capas.
- A través de la configuración del navegador.
3) Cuando pueden instalarse las cookies
Cuando el usuario disponga de la información preceptiva y la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos indicados.
Como regla general, una vez obtenido el consentimiento de forma válida no es necesario obtenerlo cada vez que un usuario visite de nuevo la misma página web. Si las características o los fines de uso de las cookies cambian después de haber obtenido el consentimiento, será necesario informar a
los usuarios acerca de estos cambios y permitirles tomar una nueva decisión acerca de tales actividades.
4) Retirada del consentimiento
Debe ofrecerse información sobre las consecuencias derivadas de la retirada de dicho consentimiento en la navegación web.
En algunos supuestos la no aceptación de las cookies puede impedir la utilización total o parcial del servicio, siempre que se informe adecuadamente y no impida el ejercicio de una derecho legalmente
reconocido al usuario.
PwC España en Facebook
PwC España en Twitter
COMENTARIOS RECIENTES