La Directiva ePrivacy, el RGPD y las cookies en España
En España, el uso de cookies se encuentra regulado por la Ley de Servicios de la Sociedad de la Información (LSSI), en combinación con el RGPD y la Directiva ePrivacy. Este marco legal establece que cualquier empresa que opere en el país debe obtener el consentimiento informado del usuario antes de instalar cookies que no sean estrictamente necesarias para el funcionamiento del sitio web.
¿Qué es la Directiva ePrivacy?
La Directiva ePrivacy es una normativa europea que regula la privacidad y la protección de los datos personales en las comunicaciones electrónicas. Se promulgó en 2002 y fue actualizada en 2009, afectando a las empresas que tratan datos personales de ciudadanos de la UE. Desde 2023 se ha ampliado el ámbito de las tecnologías, a partir del Comité Europeo de Protección de Datos (CEPD).
Esta directiva actúa como una ley marco que abarca todas las tecnologías de rastreo y no se limita únicamente a las cookies, sino que también cubre aspectos como el almacenamiento de información en dispositivos de los usuarios.
Es importante señalar que, en el contexto de la ley de cookies, el término «cookies» se utiliza de manera amplia para abarcar diversos identificadores online. Estos identificadores son herramientas tecnológicas que permiten a las empresas reconocer a los usuarios y rastrear su actividad en línea, así como recopilar datos valiosos para análisis de marketing y otros fines comerciales.
¿Cómo afecta el RGPD a las cookies?
El Reglamento General de Protección de Datos (RGPD) complementa a la ley de cookies, definiendo reglas claras sobre el tratamiento de datos personales, incluidos aquellos obtenidos a través de cookies. Para conocer más detalles de este reglamento, descubra aquí qué es y cómo cumplirlo.
Las empresas que recopilan datos a través de cookies, píxeles de seguimiento o cualquier otra clase de tecnología de rastreo deben pedir el consentimiento a los usuarios antes de hacerlo.
Siempre que no se trate de cookies estrictamente necesarias para prestar un servicio solicitado por el usuario, se debe informar al usuario sobre su uso, solicitar su consentimiento y facilitarle la opción de revocarlo en cualquier momento.
Marco legal en España
En España, la ley de cookies se complementa con el RGPD, además de la LOPDGDD y la LSSI-CE. La combinación de estas normativas establece un marco legal estricto para el uso de cookies por parte de las organizaciones que se dirijan al mercado español.
Estas son, en resumen, las obligaciones de las empresas respecto a las cookies:
- Informar sobre el tipo de cookies que se utilizan y su finalidad
- Identificar al responsable del tratamiento y comunicar cualquier cesión a terceros
- Obtener el consentimiento previo e informado de los usuarios
- Permitir a los usuarios rechazar las cookies y configurar sus preferencias
- Garantizar la seguridad de los datos recogidos a través de cookies
Por tanto, cualquier rastreo no esencial de datos personales debe contar con el permiso explícito del usuario. Además, la información recopilada debe ser protegida con las medidas de seguridad necesarias.
Las empresas en España deben cumplir estas normativas, como la ley de cookies, lo que implica que todo el proceso de recogida de consentimiento y de protección de datos debe quedar registrado. Asimismo, en caso de que se produzca cualquier brecha de seguridad que afecte a datos personales recopilados mediante cookies u otros métodos, debe ser comunicada inmediatamente a la Agencia Española de Protección de Datos (AEPD).
¿A quién se aplican las leyes de cookies en España?
¿A quién se aplica el RGPD y el resto de leyes relativas a la protección de datos? Estas obligaciones afectan a los propietarios de sitios web o aplicaciones, así como a personas físicas o jurídicas que realicen cualquier clase de comunicación electrónica, siempre que recopilen información de los usuarios.
Estos son algunos ejemplos de perfiles que deben cumplir las leyes de cookies y protección de datos:
- Propietarios de páginas web o apps, siempre que recopilen datos
- Personas o empresas que envíen comunicaciones de marketing por correo
- Proveedores de servicios de telecomunicaciones
- Empresas que comercializan productos como wearables
- Agencias de marketing digital o publicidad
- Plataformas de redes sociales
En resumen, la ley de cookies tiene un amplio alcance y afecta a cualquier actor en el entorno digital que utilice tecnologías de seguimiento para recopilar datos de los usuarios.
Consentimiento de cookies en España
La legislación vigente en España obliga a pedir a los usuarios una autorización expresa antes de instalar cookies no esenciales en sus dispositivos. Tal como se recoge en el RGPD, el consentimiento debe ser libre, informado, específico, inequívoco y revocable.
¿Qué es el consentimiento válido?
El consentimiento válido es aquel que se obtiene antes de procesar cookies y que proviene de una declaración o de una clara acción afirmativa del afectado, tal como señala la LOPDGDD. Esto significa que se debe añadir una casilla, un banner de cookies o algún sistema que permita al usuario aprobar de manera clara y concreta el tratamiento de sus datos. Por tanto, no es suficiente con un consentimiento tácito, sino que debe ser explícito.
Otro requisito importante es que sea un consentimiento informado, por lo que las empresas deben asegurarse de ser transparentes sobre el uso de datos personales. En este sentido, es obligatorio incluir una política de privacidad fácilmente accesible y legible dentro de la página web que rastrea cookies.
Si un sitio web instala cookies no esenciales en el dispositivo del usuario sin su consentimiento, está incumpliendo la ley de cookies y el RGPD, lo que puede acarrear sanciones económicas y dañar la reputación de la empresa.
Cookies exentas de la obligación de obtener consentimiento
No todas las cookies requieren consentimiento, como es el caso de aquellas que se utilizan únicamente para prestar un servicio solicitado expresamente. Este tipo se denominan cookies esenciales o técnicas, y si bien no es necesario obtener permiso para utilizarlas, es obligatorio informar sobre su uso a los interesados.
Estos son algunos ejemplos de cookies técnicas que no necesitan consentimiento:
- Cookies de autenticación para acceder a partes privadas de un portal web
- Cookies de sesión del usuario, como en un e-commerce donde se guarda el carrito
- Cookies para equilibrar la carga del servidor
En conclusión, aunque existen algunas excepciones a la regla general de consentimiento, es fundamental que las empresas sean transparentes sobre el uso de cookies.
Nuevas directrices para herramientas de medición de audiencia
Generalmente, el uso de cookies con fines de análisis no se considera esencial y, por tanto, se debe obtener el consentimiento para su uso. Sin embargo, en ciertos casos, las empresas están exentas si se trata de información puramente estadística, anonimizada y que se gestiona directamente por el responsable.
Es importante destacar que la Agencia Española de Protección de Datos (AEPD) interpreta de forma restrictiva la exención de consentimiento para las cookies de análisis. Por lo tanto, es recomendable obtener el consentimiento explícito de los usuarios antes de instalar este tipo de cookies.
Requisitos del banner de consentimiento de cookies en España
Primera capa del banner de consentimiento
Tal como regula la normativa vigente, la primera capa del banner de consentimiento, es decir, lo que se muestra a los usuarios antes de hacer clic, debe incluir la opción de rechazar las cookies. Por tanto, si su empresa oculta este botón, tenga en cuenta que la actualización de la ley de cookies por parte del CEPD obliga a incorporar la opción de no consentir el tratamiento de datos en la primera capa.
Segunda capa del banner de consentimiento
Además, otro error habitual por parte de algunas empresas es marcar por defecto las opciones dentro de la configuración de cookies. En este sentido, la normativa vigente también es clara sobre la obligación de desmarcar estas casillas, de manera que sea el usuario el que consienta activamente y de manera explícita.
Además, la información debe estar claramente visible tanto en la primera como en la segunda capa. Es importante que el usuario pueda acceder con facilidad, leer y entender sin dificultad todo lo que respecta a su privacidad.
Gestión del consentimiento: retirar o rechazar
Es obligatorio facilitar a los usuarios la opción de retirar el consentimiento del uso de cookies en cualquier momento. Herramientas como Usercentrics permiten incorporar banners de cookies conforme a la ley e incluir la opción de retirar el consentimiento una vez ha sido dado.
Conclusión
Cumplir con la ley de cookies es esencial para cualquier sitio web que opere en España. Además, se debe respetar lo que regula el RGPD, la LOPDGDD y la LSSI-CE. Todas las normativas actuales que regulan cuestiones relacionadas con la protección de datos y la privacidad deben conocerse y cumplirse. Así, siguiendo las leyes de protección de datos para empresas, no solo evitará cuantiosas multas, sino que además podrá ganarse la confianza de sus clientes y proteger su privacidad.
–
Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.