¿Cumple tu web con la nueva la Guía sobre cookies?

¿Tienes cookies en tu web? ¿has puesto un banner y crees que cumples? ¿sabías que pueden sancionarte si no cumples con la normativa de cookies?

Las cookies se han vuelto una cosa seria.

En este post te voy a explicar en cristiano que dice  la nueva Guía sobre cookies y de cómo debes utilizar las cookies en tu web si quieres que todo esté correcto y que las dichosas cookies no te pongan en apuros.

La Agencia Española de Protección de Datos (AEPD) y las asociaciones ADIGITAL, Anunciantes, AUTOCONTROL e IAB Spain han presentado recientemente la Guía sobre el uso de las cookies,

Se trata de una actualización a la nueva normativa de la primera guía en Europa sobre esta materia elaborada conjuntamente por la autoridad de protección de datos y los representantes de la industria digital, así que esta servidora te ha preparado un resumen para aligerarte la faena.

¿Las cookies son cosa del RGPD?

No solamente, la guía sobre las cookies  recogen las  obligaciones previstas en:

  • La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI)
  • El Reglamento General de Protección de Datos (RGPD)
  • La Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

Y es  aplicable a cookies y a otras tecnologías como web beacons o fingerprinting.

¿Que son los datos personales para una cookie?

Está claro que existe esta regulación porque se entiende que las cookies tratan datos personales, pero…

¿Que se considera un dato personal en el tratamiento de una cookie?

Se considerará que existe tratamiento de datos personales en la utilización de las cookies cuando el usuario esté identificado por un nombre o dirección de email que lo identifique (por ejemplo, por tratarse de un usuario registrado) o cuando se utilicen identificadores únicos que permitan distinguir unos usuarios de otros y realizar un seguimiento individualizado de los mismos (por ejemplo, un ID de publicidad o retargeting)

En definitiva, la normativa afecta fundamentalmente a las cookies utilizadas en campañas de marketing, esas que por ejemplo, utilizan datos de localización que se cruzan con  datos de carácter personal o intereses profesionales, o datos relacionados con la identidad individual física,

Estas cookies que tienen funciones de rastreo y que registran, almacenan o comparten comportamiento y preferencias de los usuarios están sujetas al RGPD y a toda su maquinaria sancionadora.

La base legal para este tipo de tratamientos llevados a cabo por las cookies es el consentimiento y es necesario tanto para cookies propias como de terceros.

No vale otra, ni el interés legítimo ni ninguna otra.

¿Todas las cookies requieren consentimiento?

Según la Guía sobre cookies,  hay algunas cookies que quedan exceptuadas de la obligación de requerir el consentimiento .

Entre ellas, estarían exceptuadas  las cookies utilizadas para alguna de las siguientes finalidades:

  • Permitir únicamente la comunicación entre el equipo del usuario y la red
  • Estrictamente prestar un servicio expresamente solicitado por el usuario

Dos obligaciones fundamentales en la Guía sobre cookies

La Guía sobre cookies analiza la necesidad de obtener el consentimiento informado del usuario antes de instalar las cookies, recogiendo tanto la obligación de transparencia en la información como el consentimiento en sí mismo. Esto significa que para que puedan utilizar cookies en una web, el responsable está obligado a proporcionar información preceptiva sobre las cookies y a obtener el consentimiento.

Por tanto, la utilización de las cookies debería ir acompañada por un consentimiento informado de los usuarios para tal utilización, de forma que los usuarios que entran en tu web, tengan la oportunidad de analizar la información y decidir si aceptan o no la utilización de las cookies de tu web, pero curiosamente, este consentimiento incluye la opción de «seguir navegando» que luego desarrollaré.

En síntesis:  si o si, necesitas advertir de las cookies que utilizas y requerir el consentimiento ANTES de instalarlas si quieres que tu web sea legal, este es uno de los requisitos, entre otros que explico en este otro post.

Primer requisito: Información

Ya sabemos que en materia de protección de datos, la transparencia informativa es básica.

Con las cookies también.

Es necesario mostrar toda la información (y tener consentimiento) antes del uso y la instalación de cookies en tu web y debe reunir algunos requisitos:

  • La información debe ser suficientemente completa y clara para que los usuarios entiendan sus finalidades y el uso.
  • La información o la comunicación debe ser también  concisa, transparente e inteligible.
  • Se deben evitar términos que induzcan a confusión.

La fórmula más sencilla para aplicar esto en tu web es el mecanismo de información por capas:

  • Información esencial en primera capa:

El pop up de advertencia con un sistema en el que el usuario pueda optar entre habilitar o no las cookies, o un enlace que conduzca a dicho sistema.

Ejemplo:

«Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación . Puedes obtener más información y configurar tus preferencias AQUÍ»

ACEPTAR-RECHAZAR

En este caso,  si no se pulsa el botón “Aceptar”, el usuario no está autorizando el uso de cookies (por lo tanto, no está legitimado el uso de cookies si el usuario no pulsa el botón para aceptar cookies y simplemente continúa navegando).


  • Información completa en la segunda capa: 

En la segunda capa, se debe facilitar información de forma transparente, clara y completa sobre todos los fines del tratamiento sobre:

  1. Definición y función genérica de las cookies.
  2. Información sobre el tipo de cookies que se utilizan y su finalidad
  3. Identificación de quién utiliza las cookies
  4. Información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies
  5. En su caso, información sobre las transferencias de datos a terceros países realizadas por el editor.
  6. Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar.
  7. Periodo de conservación de los datos
  8. En relación con el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad.

Respecto al ejercicio de derechos: si el responsable del tratamiento no está en condiciones de identificar al interesado, podrá denegar la solicitud en los términos del artículo 12.2 del RGPD (excepto cuando el interesado en su ejercicio facilitara información adicional mediante la cual el responsable del tratamiento fuera capaz de realizar su identificación).

Muy importante: la guía ratifica lo que yo he discutido hasta la saciedad sobre la descripción de las cookies e indica que suficiente con identificarlos por su nombre o por la marca con la que se identifican de cara al público, sin incluir la denominación social completa.

Segundo requisito: Consentimiento

El consentimiento será conforme al RPGD.

Para cookies con diferentes finalidades se deberá cumplir con el consentimiento informado para todas ellas.

Consentimiento inequívoco

Esto es una de las novedades más sorprendentes: Vale fórmula de seguir navegando, que se entiende como una clara  acción afirmativa pero tiene que haber panel para rechazar todas las cookies que se expresa de la siguiente forma:

«para que la acción de continuar con la navegación pueda considerarse un consentimiento válido, el aviso deberá insertarse en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pueda existir seguridad de que el aviso no ha pasado desapercibido para el usuario. Asimismo, será necesario, para que el consentimiento se considere otorgado, que el usuario realice una acción que pueda calificarse como una clara acción afirmativa. A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación.

Como explicaba antes, si se utiliza el la primera capa el botón de ACEPTAR , esta fórmula de seguir navegando, no sería válida para obtener el consentimiento.

Solo sería válida si el pop up fuera así:

«Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias. Si continúas navegando, consideraremos que aceptas
su uso. Puedes configurar o rechazar la utilización de cookies u obtener más información AQUÍ.»

Lo ideal para facilitar la selección y configuración de cookies, es que en este pop up se configuren  dos botones:

  • Uno para aceptar todas las cookies
  • Otro para rechazarlas todas, siendo esta opción recomendable cuanto mayor sea el número distinto de cookies que se utilicen.

Consentimiento explícito

Se deben insertar  botones de aceptar y rechazar para categorías especiales de datos también, es decir, el consentimiento debe ser específico.

Consentimiento de menores de 14 años

Según la propia Guía sobre cookies: En el caso de sitios web o servicios en línea específicamente dirigidos a menores, es conveniente recordar la necesidad de adoptar cautelas adicionales como son una mayor sencillez y claridad del lenguaje empleado.

«Tratándose de menores de 14 años, el responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento para el tratamiento de datos personales fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias del tratamiento»

Un ejemplo para obtener este tipo de consentimiento de menores de edad sería el siguiente:

«Si tienes menos de 14 años, pide a tu padre, madre o tutor que lea este mensaje.
Utilizamos cookies propias y de terceros para saber cómo utilizas nuestro sitio web y hacer estadísticas. Más información.
Tu padre, madre o tutor puede pulsar “aceptar” si consiente que utilicemos todas las cookies, o configurarlas o rechazar su
uso AQUÍ.»

¿Cuánto dura el consentimiento obtenido?

En la guía sobre cookies, la agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.

Debe ser igual de fácil retirar el consentimiento como obtenerlo

Según la Guía sobre cookies, para que tu web cumpla de forma satisfactoria con la norma, los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento. Para eso, deberás informar oportunamente a tus usuarios en tu política de cookies sobre cómo pueden retirar el consentimiento y eliminar las cookies.
El usuario debe poder revocar el consentimiento de forma fácil

Responsabilidades según la Guía sobre cookies

Todos los intervinientes tienen que colaborar en el cumplimento. El editor y los terceros tienen responsabilidad de informar al usuario sobre las finalidades y obtener el consentimiento Los CMPS facilitan el proceso.

Es interesante en este punto cómo la AEPD señala la figura no solo del encargado del tratamiento, sino del corresponsable: El/los que determinen los fines y medios son responsables del tratamiento que realizan. Cada responsable responderá del tratamiento concreto. Cabe la corresponsabilidad. Dependerá de la implicación en cada tratamiento La responsabilidad no es desplazable contractualmente.

¿Que pasa si no cumples con la Guía sobre cookies?

Te pasará lo mismo que a Vueling, quizás nos sean 30 mil en tu caso, pero el disgusto te lo llevas seguro.

¿Cómo adaptar la guía de cookies en tu web?

Lo primero, debes saber si el plugín que tienes instalado actualmente te permite cumplir con todas las exigencias.

En este vídeo, Antonio Cambronero, Blogging Researcher de @blogpocket, te explicará cómo saber si una web pasa la prueba del algodón del RGPD  y claro, la primera en pasar esa prueba ha sido mi propia web.

No te pierdas este hilo en Twitter si quieres aprender cómo adaptar técnicamente todos estos principios en tu web, cortesía de Santiago Alonso, @salonsoweb,  un astro  rey de WordPress que hace posible lo imposible y que consiguió que mi web y la de muchos de mi clientes cumplan con estos requisitos y tengamos las cookies en condiciones.

¿Quieres cumplir en tu web con los requisitos de la Guía sobre cookies?

Tienes 4 Kits legales que te permiten cumplir con este y otros requisitos legales para tener una web 100% legal.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn

Suscríbete hoy

Convierte tu web en un

espacio confiable, seguro y 100% legal

3 respuestas

  1. Hola Marina, muy buen articulo. Una duda, si me uniera al porgrama de afiliados de Amazon, lei que se instala una cookie «de afiliados» que dura 24 horas cuando un usuario hace clic en el enlace a un producto, ¿como se debe tratar esta cookie?, ¿el usuario la rechaza desde el banner al entrar y desaparecer los productos de los textos, o tendria que insertar (si se puede) alguna advertencia que si se sigue el enlace del producto se insertara la cookie?, esto cuando aga clic en el, y una ultima, ya que esta cookie dura 24 horas,
    ¿deberia pedir el consentimiento todos los dias aunque sea el mismo usuario y agregar al registro de consentimiento cada vez que hacepte?

    Saludos.

    1. Hola Rubén
      Esa cookie debe ser tratada como cualquier otra cookie de terceros y de la misma manera que explico en el post, deberás advertir del tipo de cookies en una primera capa, en este caso, la de afiliados y no cargarla en el ordenador del usuario hasta que este no haya consentido su instalación. Respecto al almacenamiento del consentimiento, opera lo mismo, no hay nada específico para las cookies de afiliados diferente al resto de cookies publicitarias o de retargeting.
      Un abrazo

      1. Entonses, y solo para aclarar, algunas de estas cookies suelen durar 24 horas, 40 dias, 90 dias etc. poniendo el caso de las de 24 horas, pasadas estas, ¿necesito de nuevo el consentimiento del usuario y el registro de este cada vez que la cookie expeire? Cada 24 horas en el caso de este ejemplo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído y acepto la política de privacidad. *

marinabrocca.com te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Marina Brocca como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: responder a los comentarios enviados a través de la web.

Legitimación: Consentimiento del interesado.

Destinatarios: Hosting: Bitlabs Ingeniería de Software, S.L. Debes saber que mi hosting es 100% español y 100% seguro.

Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en hola@marinabrocca.com así como el derecho a presentar una reclamación ante una autoridad de control.

El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no pueda atender tu solicitud.

Información adicional: Puedes consultar la información adicional y detallada sobre Protección de Datos en mi página web: marinabrocca.com, así como consultar mi política de privacidad.