Cuestiones legales sobre las cookies. Nivel mentes inquietas y propietarios de webs.

Cuestiones legales sobre las cookies. Nivel mentes inquietas y propietarios de webs.

Hemos visto hasta ahora qué son las cookies, cómo se clasifican según la Agencia española de protección de datos y para qué sirven. Ahora veremos cómo tendremos que comportarnos si somos propietarios de una web, blog, aplicación, espacio publicitario, etc. y vamos a instalar cookies en los equipos de nuestros usuarios, según el apartado segundo del artículo 22 de la LSSI (Ley de servicios de la sociedad de la información),.

Desde abril de 2012 para instalar cookies en los equipos terminales de los usuarios (ordenador, dispositivo móvil u otros) es necesario obtener el consentimiento informado de los usuarios, salvo en determinados supuestos.

Aquí es necesario resaltar una serie de cuestiones muy importantes:

  1. Las cookies no pueden ser instaladas antes de que el usuario dé su consentimiento.
  2. El consentimiento no se consigue únicamente haciendo clic en un apartado que indique “consiento” o “acepto”, éste puede ser tácito, estando unido a alguna acción del usuario como por ejemplo seguir navegando tras un aviso que indique que si se sigue navegando se instalarán las cookies.
Consentimiento tácito de aceptación de cookies

Ejemplo de aceptación de cookies por consentimiento tácito.

¿Hay que informar de la instalación de todas las cookies? Cookies exentas y cookies no exentas.

En primer lugar tendremos que saber qué cookies vamos a instalar en los terminales de nuestros usuarios. Una vez conocidas, habrá que tener en cuenta si éstas están o no afectadas por lo recogido en la normativa al respecto de la Agencia española de protección de datos.

Tendremos por tanto las siguientes categorías.

Cookies exentas

Aquellas sobre las que no se aplica la ley. No será por tanto necesario informar ni obtener el consentimiento. Serán las siguientes:

  • Cookies estrictamente necesarias para prestar un servicio expresamente solicitado por el usuario.
  • Cookies necesarias únicamente para permitir la comunicación entre el equipo del usuario y la red.

Dentro de  estas dos clasificaciones de exentas se encontrarían las siguientes cookies técnicas:

  • Cookies de entrada del usuario.
  • Cookies de sesión autenticación identificación de usuario.
  • Cookies de seguridad del usuario.
  • Cookies de sesión de reproductor multimedia.
  • Cookies de carga.
  • Cookies de personalización de la interfaz de usuario.
  • Cookies de complemento (plug-in) para intercambiar contenido social.
  • Cookies de cesta de la compra.
  • Cookies para rellenar un formulario.

Si cualquiera de estas cookies se usase con una finalidad distinta a la indicada pasarían a ser calificadas como no exentas.

Cookies no exentas

Son aquellas sobre las que es necesario informar y obtener el consentimiento. Afecta tanto a las cookies propias como las de terceros que traten datos para cualquier otra finalidad diferente a las mencionada en cookies exentas .Por ejemplo:

  • Las que se emplean para realizar análisis de uso o medición.
  • Las que se emplean para realizar publicidad de terceros desde tu página web, app o de tus productos o servicios en otras webs o apps.

Si en tu página web o blog hay publicidad de terceros o por ejemplo usas juegos desarrollados por terceros es muy posible que para ello se estén usando cookies de terceros, las cuales no están exentas.

Asimismo, si estás usando una aplicación de otra empresa para realizar el análisis de uso de tu página o para cualquier otra finalidad, es posible que esa otra empresa esté tratando los datos que obtiene no sólo para prestarte a ti el servicio, sino también para mejorar sus propios servicios o para ofrecer servicios a terceros, como por ejemplo de publicidad.

En estos casos, aunque las cookies sean enviadas desde tu propio dominio, se trata de cookies no exentas y, en consecuencia, es necesario informar y obtener el consentimiento para que tu empresa y las otras empresas puedan tratar los datos obtenidos.

¿Cómo averiguar si mis cookies están o no exentas?

Como hemos indicado con anterioridad, es fundamental para evitarnos cualquier tipo de problema y sanción saber qué cookies vamos a instalar en los terminales de nuestros usuarios. Este será el paso previo a cualquier política de cookies que tengamos previsto realizar.

Para ellos nos podremos servir de distintas herramientas y métodos tales como:

  • Extensiones para navegadores como Firebug, que nos permitirán conocer qué cookies está instalando nuestra web.
  • Desde las opciones avanzadas de nuestro navegador.
  • Análisis del código de programación
  • Examen en profundidad de los contratos o condiciones generales de nuestros proveedores, que nos añadirán funcionalidades a nuestra web, blog, aplicación, etc. Estos terceros podrían obtener datos de nuestros usuarios a través de juegos, publicidad, banners, etc.
Cookies vistas con Firebug

Uso de Firebug para ver las cookies de una web.

Una vez realizado el análisis en profundidad, es recomendable llevar un registro actualizado de todas las cookies que se instalarán a través de nuestra web, aplicación, blog, etc, y que nos servirá para definir, entre otras, si las mismas están exentas o no.

Tabla registro de cookies

Es recomendable llevar un registro de las cookies.

¿Cómo debe aparecer la información para el consentimiento del usuario?

La Agencia española de protección de datos es clara en este aspecto:

La información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser lo suficientemente completa como para permitir a los usuarios entender la finalidad para las que se instalaron y conocer los usos que se les darán.

En el caso de que un usuario preste su consentimiento para el uso de cookies, la información sobre cómo revocar el consentimiento y eliminar las cookies deberá de estar a su disposición de forma accesible y permanente.

Además de facilitar la información necesaria para que los usuarios puedan prestar, en el momento requerido, un consentimiento valido, es aconsejable que la citada información, y en particular la relativa a la forma a través de la cual pueden gestionar las cookies, esté a su disposición de forma accesible y permanente en todo momento a través la página web desde la que se presta el servicio.

La AEPD da además una serie de recomendaciones sobre la información que debe facilitarse y el lenguaje a utilizar en dicha información:

  • Tener en cuenta el tipo de usuario medio al que se dirige esa página web y adecuar el lenguaje y el contenido de los mensajes a su nivel técnico.
    Cuanto menor sea el nivel técnico del usuario medio de esa página web, más sencillo deberá ser el lenguaje que se utilice y más completa la información que se ofrezca, partiendo de los aspectos más básicos de qué son las cookies y cómo funcionan.
    Si los conocimientos técnicos de los usuarios son elevados, puede no ser necesario proporcionar la información básica sobre qué son las cookies y cómo funcionan, si bien deberán incluir en todo caso información detallada sobre qué tipo de cookies se utilizan en esa página y con qué fines.
  • En el momento actual, debe partirse de que el nivel de conocimiento de los usuarios sobre las cookies y su gestión es muy reducido.
  • Tener en cuenta el diseño y mecánica de la página web, de manera que se aumente la probabilidad de que la información sobre cookies sea leída por los usuarios.
  • La información sobre cookies debe estar, dentro de la web, en un lugar visible y accesible. A fin de mantener la visibilidad de la información sobre las cookies, ésta deberá de ser destacada y separada (mediante un hiperenlace distinto, por ejemplo) del resto de la información sobre términos y condiciones de uso o política privacidad. Un enlace “Política de cookies” sería lo recomendable.

En el documento sobre cookies de la AEPD se numeran una serie de recomendaciones para conseguir este objetivo.

¿Cuándo podremos conseguir el consentimiento para la instalación de cookies?

En la citada guía se indican algunos métodos para conseguir el consentimiento, tales como:

  • En el momento de registro del usuario, en el caso que ya tengas usuarios registrados se puede establecer un procedimiento para comunicar la política de cookies y obtener el consentimiento cuando vayan acceder al servicio sino están registrados o si ya lo están cuando vuelvan a entrar al servicio o vayan a ejecutar de nuevo la aplicación.
  • En el momento de instalación de una aplicación. Esta forma de obtención del consentimiento resulta particularmente interesante en los casos de las aplicaciones para móviles.
  • En el momento en que un usuario visita la web a través del formato de información por capas.

¿En qué consiste la información por capas?

Este método consiste en presentar al usuario en un primer momento la información sobre las finalidades para las que se tratan las cookies, sobre si son propias o de terceros y sobre la acción a través de la cual se entiende que da su consentimiento, junto a un enlace a una página web interior donde se informe sobre la política de cookies.

¿Qué deberá incluir la primera capa?

Información que se facilitará a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento. Esta información incluiría:

  • Advertencia del uso de cookies no exceptuadas que se instalan al navegar por dicha página o al utilizar el servicio solicitado.
  • Identificación de las finalidades de las cookies que se instalan. Información sobre si la instalación y uso de las cookies será solo del editor responsable de la web, o también de terceros asociados a él.
  • En su caso, advertencia de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.
  • Un enlace a una segunda capa informativa en la que se incluye una información más detallada.
Sistema de información de cookies por capas. 1ª capa

Sistema de información por capas. La 1ª capa debe tener un enlace para ofrecer más información sobre las cookies instaladas.

¿Qué deberá incluir la segunda capa?

Básicamente la política de cookies, Debe contener al menos, de forma clara y sin tecnicismos:

  • La definición y función de las cookies.
  • Información sobre el tipo de cookies que utiliza la página web y su finalidad, por ejemplo debes explicar que son las cookies propias y de terceros, de sesión o persistentes y la finalidad para las que las usas, si son de análisis, publicidad, etc.
  • Información sobre la forma de desactivar o eliminar las cookies, bien a través de una aplicación propia que hayas desarrollado específicamente para tu web, de una aplicación desarrollada por un tercero o de las herramientas de los navegadores.
  • Identificar a las posibles terceras empresas, con las que hayas celebrado un contrato o aceptado unas condiciones generales de contratación y que utilizan los datos obtenidos a través de las cookies, tanto si son propias como de terceros, para sus propias finalidades o para prestar servicios a terceros.
Sistema de información de cookies por capas. 2ª capa

Sistema de información de cookies por capas. La 2ª capa debe tener información completa sobre todas y cada una de las cookies instaladas.

¿Qué pasa si además tenemos datos que identifican a una persona física?

En ese caso, si el usuario está registrado, además es necesario cumplir con la normativa de protección de datos de carácter personal.

¿Puedo retirar el consentimiento para el uso de cookies?

Si, la Agencia española de protección de datos lo deja muy claro: los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento. A tal fin, el titular de la página web deberá asegurarse de que facilita información a los usuarios en su política de privacidad sobre cómo puede retirarse el consentimiento y eliminarse las cookies.

En todo caso, podrá informarse al usuario sobre las consecuencias derivadas de la retirada de dicho consentimiento, como por ejemplo, del impacto que puede tener en las funcionalidades de la página web.

¿Me pueden denegar el acceso al servicio sin no consiento la instalación de cookies?

De nuevo la AEPD no deja lugar a dudas en este caso: Podrán existir supuestos en los que la no aceptación de la instalación de cookies impida la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario.

No obstante, no podrá denegarse el acceso al servicio en caso de rechazo a las cookies, en aquellos supuestos en que tal denegación impida el ejercicio de un derecho legalmente reconocido al usuario, por ser el acceso a dicha página web sea el único medio facilitado al usuario para ejercitar tal derecho. (Ejemplo, la baja en un servicio telefónico, de acceso a Internet o de otro tipo).

¿Y si contrato servicios que usan cookies? ¿De quién será la responsabilidad en el uso de las cookies?

La Agencia española de protección de datos distingue las dos situaciones que se describen a continuación en función de la finalidad para la que se tratan los datos que se obtienen a través de la utilización de las cookies.

  • El editor o los terceros utilizan las cookies para finalidades exceptuadas de las obligaciones de informar y de obtener el consentimiento.
    En este caso no será necesario informar, aunque si se emplean cookies de terceros habrá que cerciorarse contractualmente que sus cookies están exentas de informar
  • El editor o los terceros utilizan las cookies para finalidades no exceptuadas de las obligaciones de informar y obtener el consentimiento. Aquí habrá que distinguir entre:
  1. Cookies de primera parte: En este caso el propietario de la web (Editor) será el responsable de informar y solicitar el consentimiento.
  2. Cookies de tercera parte: En este caso, tanto el Editor como el resto de entidades intervinientes en la gestión de las cookies serán responsables de garantizar la correcta información sobre las cookies así como de la obtención del consentimiento. Por tanto por garantizar el cumplimiento de las obligaciones establecidas en este ámbito, si instalamos cookies de terceros se deberían establecer cláusulas en los contratos entre los propietarios de la web y los terceros que garanticen que se ofrecerá a los usuarios la información requerida y que se articulará la forma a través de cual se pueda obtener un consentimiento válido para la utilización de las cookies, así como sobre de las consecuencias de la revocación del consentimiento para el editor y, especialmente, para los terceros que lo obtuvieron a través del editor.

 Biblografía:

Foto inicial: Supertrooper / freedigitalphotos.net

Sobre José Manuel Escudero

Químico de formación. Máster en Analítica Web por KSchool. Máster en Finanzas y Marketing por ESIC y EOI. Certificado en Google Analytics (GAIQ). Más de 15 años de experiencia en el mundo de Internet y Tecnologías de Información. Primer premio de la XIX Edición premios IDEA (Gobierno de Aragón) en la categoría de Servicios avanzados para empresas.

Trackbacks/Pingbacks

  1. Oscar G. Peinado (@ogpeinado) - RT @la_metrica: Cuestiones legales sobre las cookies. Nivel mentes inquietas y propietarios de webs. http://t.co/fAmx0IysU6
  2. Cristina Díaz (@cris_diaz_es) - RT @la_metrica: Cuestiones legales sobre las cookies. Nivel mentes inquietas y propietarios de webs. http://t.co/fAmx0IysU6

Deja un comentario