Las cookies son pequeñas piezas de información que los sitios web almacenan en los dispositivos de los usuarios. Pueden tener diferentes funciones, desde esenciales para proporcionar un servicio hasta finalidades específicas, como publicidad u otros.
Esta información debe ser gestionada bajo estrictas condiciones de transparencia y consentimiento, con el fin de proteger la privacidad de los usuarios en línea. Se debe seguir la normativa española al respecto, cuyo objetivo es garantizar que los usuarios tengan control sobre sus datos personales, que se almacenan o procesan en páginas web, apps y plataformas sociales.
Formalmente conocida como la «Directiva sobre privacidad y comunicaciones electrónicas» (Directiva 2002/58/CE), la ePrivacy aborda todo lo relativo a la privacidad en las comunicaciones electrónicas, incluido el uso de cookies. A menudo se confunde con el Reglamento General de Protección de Datos, pero si bien están relacionados, se trata de normativas diferentes.
El RGPD es la legislación que regula el tratamiento de los datos personales de los ciudadanos dentro del Espacio Económico Europeo (EEE). Mientras que este reglamento aborda cuestiones sobre la protección de datos personales en general, la ePrivacy se centra en la confidencialidad de las comunicaciones, los controles de privacidad a través del consentimiento electrónico y los navegadores, y las cookies.
La normativa vigente obliga a las empresas que operan con datos de ciudadanos españoles a una serie de medidas relativas a las cookies:
- Comunicar sobre cualquier tipo de uso de cookies
- Obtener el consentimiento previo a su uso, salvo para las esenciales
- Dar información sobre el responsable del tratamiento de los datos personales
- Asegurarse de proteger cualquier información con las medidas necesarias
- Dar la opción a los usuarios de configurar sus preferencias e incluso rechazar las cookies
Es indispensable que cualquier rastreo de datos en las páginas web corporativas, ya sea mediante cookies, píxeles u otras formas de rastreo, sea conforme a la ley, respetando la privacidad de los usuarios.
¿A quién se aplica el RGPD y, en general, la legislación sobre cookies? Tanto las empresas que ofrecen servicios o productos online como sus proveedores tecnológicos o de marketing deben responsabilizarse del uso correcto de estas tecnologías de seguimiento.
Consentimiento de cookies en España
El Reglamento General de Protección de Datos (RGPD) y la Directiva ePrivacy establecen la obligatoriedad de obtener el consentimiento del usuario para el uso de cookies, salvo en el caso de aquellas cookies estrictamente necesarias para la prestación del servicio. El resto, incluidas las que tienen finalidades como analítica, publicidad o personalización requieren un consentimiento libre, específico, informado e inequívoco. Este consentimiento debe obtenerse a través de mecanismos transparentes, como un banner de cookies conforme a la normativa.
La Agencia Española de Protección de Datos (AEPD) ha actualizado su guía sobre el uso de las cookies en España con el fin de ajustarla a las modificaciones del Comité Europeo de Protección de Datos (CEPD), que periódicamente publica nuevas directrices.
Entre los cambios se encuentra, por ejemplo, el relativo a los muros de cookies. Antes las webs podían bloquear el acceso al usuario si no aceptaba las cookies. Ahora pueden seguir haciéndolo, pero deben ofrecer una alternativa para entrar sin cookies, aunque esa alternativa puede ser de pago.
Requisitos del banner de consentimiento de cookies en España
El banner de cookies es una herramienta indispensable para cumplir las leyes relativas al consentimiento de uso de datos personales en España. La normativa europea y española exige que este banner cuente con algunas características:
- Se debe identificar al responsable del sitio web
- Es necesario aclarar la finalidad de las cookies
- Se debe especificar los tipos de cookies que se utilizan
- Debe haber un enlace a la política de cookies del sitio
- El banner debe ser visible, accesible y fácil de usar
Normalmente, los banners se dividen en dos capas. La primera capa es más general y en ella se presentan varias opciones al visitante para su lectura. Esta primera debe ser concisa y clara, y conviene que tenga tres opciones:
- Aceptar todo
- Rechazar / denegar
- Configurar
En la segunda capa aparece más información configurable, que permite detallar para qué uso se permite la tecnología y para cuáles no, si es el caso.
Este es un ejemplo de texto que se puede añadir junto a las opciones de configuración:
«Esta herramienta le ayuda a seleccionar y desactivar varias etiquetas / rastreadores / herramientas de análisis utilizadas en este sitio web».
Como podemos ver en la imagen de ejemplo, las cookies esenciales están marcadas por defecto, ya que son obligatorias para el funcionamiento del sitio y no es necesario aceptarlas. En cambio, las funcionales y de marketing tienen la opción de activar o desactivar la casilla.
Tal como se indica en la LOPDGDD y el RGPD, el usuario debe consentir con una clara acción afirmativa, es decir, que no basta dar por supuesto que por defecto permite el uso de cookies. Por tanto, se debe incorporar un banner o algún otro sistema que permita al usuario consentir de forma expresa el tratamiento de sus datos personales.
Una excelente forma de asegurarse de que realmente cumple la normativa vigente es descargando esta Checklist RGPD, que le dará las claves para saber si su empresa respeta la normativa de protección de datos.
Duración y administración de las cookies
Tal como se indica en la última actualización de la guía de cookies publicada por la AEPD, hay dos tipos de cookies según el plazo de tiempo que permanecen activadas. Por un lado existen las cookies de sesión, que como indica su nombre, solo están activas mientras el usuario accede a una página web. Por otro lado están las cookies persistentes, que son aquellas en las que los datos continúan en el dispositivo, pudiendo ser accedidos y tratados durante un tiempo definido por el responsable de la cookie, que puede variar desde unos minutos a varios años.
La AEPD señala lo siguiente:
«A este respecto debe valorarse específicamente si es necesaria la utilización de cookies persistentes, puesto que los riesgos para la privacidad podrían reducirse mediante la utilización de cookies de sesión. En todo caso, cuando se instalen cookies persistentes, se recomienda reducir al mínimo necesario su duración temporal atendiendo a la finalidad de su uso».
En todo caso, la legislación señala que la duración debe estar ligada a la finalidad del tratamiento. Por tanto, nunca podrá ser mayor de lo que dure la finalidad establecida que legitima el uso de las cookies.
Por su parte, el CEPD recomienda que se renueve el consentimiento de los usuarios de forma periódica. Además, tal como se recoge en la guía de cookies:
«Esta agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión».
Más allá de los intervalos de tiempo mencionados, el usuario tiene el derecho de retirar su consentimiento en cualquier momento. La empresa, por su parte, debe ofrecer los mecanismos necesarios para ello y finalizar cualquier tipo de rastreo no esencial desde el momento en que el interesado lo deniegue.
Consecuencias del incumplimiento de la ley de cookies en España
Incorporar tecnología de rastreo sin la autorización explícita del interesado puede conllevar importantes sanciones económicas, llegando a los 20 millones de euros o al 4% de la facturación anual de la empresa. Además, las marcas pueden ver afectada su reputación y la relación de confianza con sus clientes si incurren en cualquier tipo de falta respecto a la legislación de protección de datos para empresas.
Cómo cumplir con la ley de cookies en España
Para poder cumplir la normativa vigente respecto al uso de cookies, las empresas deben contar con los mecanismos adecuados tanto en su sitio web como en toda su organización. No solo se debe solicitar autorización al usuario para rastrear su información, sino que además se debe incluir en el sitio web la política de privacidad de la empresa, informando sobre el manejo responsable de datos de carácter personal. Asimismo, los usuarios deben poder ejercer sus derechos en cualquier momento, que incluyen rectificar, eliminar o portar sus datos personales.
La instalación de una solución específica en la web para poder gestionar el consentimiento es relativamente sencilla y puede evitar problemas a las empresas. Un plugin de consentimiento cookies es una extensión muy útil para incorporar banners de cookies en el sitio web corporativo.
El uso de software especializado no solo permite la gestión del consentimiento, sino que también ayuda a las empresas a documentarlo y así poder superar cualquier auditoría. Hoy en día existen en el mercado diferentes herramientas especializadas, como las plataformas de gestión del consentimiento (CMP), que ayudan a garantizar que su sitio esté en conformidad con las normativas.
Conclusión
Cumplir con la normativa de cookies en España no solo es fundamental para evitar sanciones y daños en la reputación, sino que además presenta beneficios, ya que mejora la confianza hacia la marca y optimiza la experiencia en el sitio web.
La normativa se actualiza continuamente y las multas por incumplimiento pueden suponer graves consecuencias para las empresas. Por lo tanto, recuerde actualizar continuamente su sitio para mantener su web dentro de los estándares legales. Analice su sitio para identificar todas las cookies utilizadas, clasificarlas según su finalidad y verificar si su banner de cookies y su política de cookies cumplen con la normativa vigente.
–
Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.