FAQS COOKIES


Manuel Castilleja Toscano     14/05/2024

GUÍA DE COOKIES EN FORMATO PREGUNTA-RESPUESTA

INTRODUCCIÓN

NORMATIVA APLICABLE

TERMINOLOGÍA Y DEFINICIONES

1. ¿Qué son las cookies?

2. ¿Quién es el destinatario del servicio o destinatario?

3. ¿Qué es un servicio de la sociedad de la información?

4. ¿Quién es el editor y/o el soporte?

5. ¿Cómo comercializa el soporte el inventario publicitario?

6. ¿Quién es el anunciante?

7. ¿Quién es el agente comprador?

8. ¿Qué es una plataforma de gestión del consentimiento (Consent Magement Platform o CMP)?

9. ¿Qué son las agencias de publicidad y agencias de medios?

10. ¿Qué son las redes publicitarias o ad-networks)?

11. ¿Qué es el trading-desk?

12. ¿Qué es un Ad Exchange?

13. ¿Qué es un DSP (Demand Side Platform) o bidder?

14. ¿Qué es una SSP (Supply Side Platform)?

15. ¿Cuáles son las empresas de análisis y medición?

16. ¿Qué es un DMP (Data Management Platform)?

TIPOS DE COOKIES

17. ¿Qué tipos de cookies existen?

18. ¿Qué tipos de cookies existen en función de la entidad que las gestione?

19. ¿Qué tipos de cookies existen según su finalidad?

20. ¿Qué tipos de cookies existen según el tiempo que permanecen activas?

INFORMACIÓN

21. ¿Se debe informar al usuario siempre que se instalen cookies, aunque sean necesarias (técnicas o de personalización)?

22. ¿Cuándo pueden utilizarse y, en su caso, instalarse las cookies?

23. ¿Qué información debe facilitarse al usuario sobre las cookies?

24. ¿Cómo debe ser la información que se facilite sobre cookies?

25. ¿Cómo debe mostrarse la información por capas sobre cookies?

26. ¿Cómo debe mostrarse el panel de configuración de cookies?

27. ¿Sólo se puede mostrar la información de cookies por capas?

CONSENTIMIENTO

28. ¿Qué cookies están exentas de la obligación de solicitar el consentimiento para su instalación en el equipo del usuario?

29. ¿Cómo debe obtenerse y cómo debe ser el consentimiento para la instalación de cookies para que sea válido?

30. ¿Cada cuánto tiempo se debe renovar el consentimiento obtenido para la instalación de cookies?

31. ¿Cómo debe ser el sistema que se ofrezca para la revocación del consentimiento para la instalación de cookies?

32. ¿De qué formas podemos obtener el consentimiento?

33. ¿Cómo obtener el consentimiento en caso de menores?

34. ¿Cómo se obtiene el consentimiento para el uso de cookies cuando un editor presta servicios a través de diferentes páginas?

35. ¿Cuándo se debe cambiar la información sobre cookies?

36. ¿Se puede denegar al usuario el acceso a un servicio en caso de que rechace la instalación de cookies que precisen su consentimiento?

37. ¿Quién es el responsable de facilitar información sobre las cookies, y cuando sea necesario, obtener el consentimiento para su uso?

FICHA TÉCNICA

INTRODUCCIÓN

En julio de 2023, la Agencia Española de Protección de Datos (AEPD) publicó su Guía sobre el uso de cookies actualizada y adaptada a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos (CEPD).

Las organizaciones tuvieron hasta el 11 de enero de 2024 para adoptar los criterios recogidos en la Guía.

Dadas las complejidades que plantea el uso de las cookies -y la advertencia de la propia AEPD que las orientaciones recogidas en la Guía no son una solución general y uniforme para el cumplimiento de la normativa, sino que deben servir de guía para que las entidades afectadas analicen su situación particular y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio-, en esta publicación hemos decidido presentar el contenido de la Guía de la AEPD en un formato similar al de preguntas frecuentes (Faqs), en este caso, con un formato de pregunta-respuesta (Q&A). El objetivo es optimizar el contenido de la Guía, para una búsqueda más sencilla, fluida y concreta o específica para el lector, de todas las orientaciones en ella recogidas.

Desde el índice, el formato Q&A permite la rápida localización y fácil acceso a la respuesta de cada una de las preguntas o consultas planteadas.

NORMATIVA APLICABLE

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) y el RGPD.

El apartado segundo del artículo 22 de la LSSI establece:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la normativa de protección de datos (RGPD).

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”.

Por tanto, el artículo anterior, es de aplicación a cualquier “dispositivo de almacenamiento y recuperación de datos” en cualquier “equipo terminal de los destinatarios” (persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información). Es decir, se refiere a la utilización de cookies y tecnologías similares utilizadas (tales como local shared objects o flash cookies, web beacons o bugs, etc.) para almacenar y recuperar datos de un equipo terminal (por ejemplo, un ordenador, un teléfono móvil o una tablet) de una persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información. También resulta de aplicación al empleo de técnicas de fingerprinting, es decir, a las técnicas de toma de la huella digital del dispositivo.

El citado artículo 22.2 de la LSSI vincula la obtención del consentimiento a la información que se facilite al usuario, de modo que el consentimiento que, en su caso, preste el usuario sea informado. Este artículo 22.2 se remite a la normativa de protección de datos en lo relativo a los requisitos del consentimiento informado.

En este sentido, el propio RGPD, en su considerando 30, menciona estas tecnologías y su impacto en la protección de datos:

“Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de “cookies” u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas”.

Por ello, cuando la utilización de una cookie conlleve el tratamiento de datos personales, los responsables de tal tratamiento deberán asegurarse del cumplimiento de las exigencias adicionales establecidas por el RGPD. Se considerará que existe tratamiento de datos personales cuando el usuario esté identificado por un nombre o dirección de correo electrónico que lo identifique (por ejemplo, por tratarse de un usuario registrado) o cuando se utilicen identificadores únicos que permitan distinguir unos usuarios de otros y realizar un seguimiento individualizado de los mismos (por ejemplo, un ID de publicidad).

No obstante, en relación con la atención de derechos de protección de datos de los interesados, si el responsable del tratamiento no está en condiciones de identificar al interesado, podrá denegar la solicitud en los términos del artículo 12.2 del RGPD (excepto cuando el interesado en su ejercicio facilitara información adicional mediante la cual el responsable del tratamiento fuera capaz de realizar su identificación).

TERMINOLOGÍA Y DEFINICIONES

  1. ¿Qué son las cookies?

Las cookies se pueden definir como dispositivos de almacenamiento y recuperación de datos en los equipos terminales de los usuarios (destinatarios del servicio o destinatarios). Es decir, su finalidad es almacenar información y recuperar la ya almacenada cuando el usuario navega, con objetivos diversos, como, por ejemplo, reconocerle como usuario, obtener información sobre sus hábitos de navegación, o personalizar la forma en que se muestra el contenido. Los datos almacenados en una cookie son creados por el servidor al conectarse el usuario, estos datos se etiquetan con un ID exclusivo para el usuario y su ordenador. Cuando la cookie se intercambia entre un ordenador y el servidor de la red, este último lee el ID y sabe qué información específica mostrarle. Las cookies, por tanto, tienen implicaciones importantes en relación con la privacidad del usuario.

  1. ¿Quién es el destinatario del servicio o destinatario?

Es la persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información. El término destinatario coincide con el de usuario, pudiendo diferenciarse entre usuario registrado y no registrado.

La información sobre cookies debe dirigirse directamente al usuario para que pueda expresar su consentimiento o su rechazo. (Apartado d) del Anexo de la LSSI).

  1. ¿Qué es un servicio de la sociedad de la información?

Es todo servicio prestado a petición individual de un usuario, a título oneroso o no, a distancia y por vía electrónica, siempre que, constituya una actividad económica para el editor, cuya prestación origina la utilización de las cookies.

Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes:

1.º La contratación de bienes o servicios por vía electrónica.

2.º La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.

3.º La gestión de compras en la red por grupos de personas.

4.º El envío de comunicaciones comerciales.

5.º El suministro de información por vía telemática.

No tendrán la consideración de servicios de la sociedad de la información los que no reúnan las características señaladas en el primer párrafo y, en particular, los siguientes:

1.º Los servicios prestados por medio de telefonía vocal, fax o télex.

2.º El intercambio de información por medio de correo electrónico u otro medio de comunicación electrónica equivalente para fines ajenos a la actividad económica de quienes lo utilizan.

3.º Los servicios de radiodifusión televisiva (incluidos los servicios de cuasivídeo a la carta), contemplados en el artículo 3.ª) de la Ley 25/1994, de 12 de julio, por la que se incorpora al ordenamiento jurídico español la Directiva 89/552/CEE, del Consejo, de 3 de octubre, sobre la coordinación de determinadas disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas al ejercicio de actividades de radiodifusión televisiva, o cualquier otra que la sustituya.

4.º Los servicios de radiodifusión sonora, y

5.º El teletexto televisivo y otros servicios equivalentes como las guías electrónicas de programas ofrecidas a través de las plataformas televisivas. (Apartado a) del Anexo de la LSSI)

Por ejemplo: la prestación de un servicio de acceso a la información a través de una página web o de una aplicación móvil creada por una revista o periódico, de un servicio financiero, de un servicio de entretenimiento, de un servicio de comercio electrónico de una tienda online, etc.

  1. ¿Quién es el editor y/o el soporte?

Es cualquier entidad prestadora de servicios de la sociedad de la información titular de una página web a los que puede acceder un usuario y para cuya prestación se utilizan cookies.

Algunos editores también conocidos como publishers, además de prestar un servicio a los usuarios, ofertan, actuando como soportes, por sí mismos o con la ayuda de uno o varios terceros, espacios publicitarios a los anunciantes para cuya gestión es necesaria la utilización de cookies.

A la luz de esta definición se puede observar el doble papel o función que puede desarrollar un editor.

Actúa como prestador de un servicio al usuario, para cuya prestación puede ser necesaria la utilización de cookies. Cuando actúa como soporte puede, además, ofertar a los anunciantes espacios publicitarios que estarán gestionados bien por él mismo, o bien por una o más entidades simultáneamente, mediante el uso tecnologías que pueden requerir el uso de cookies para su funcionamiento.

De esta manera, es el soporte el que presenta la publicidad al usuario (interesado) a través de los espacios publicitarios que dispone, cuyo conjunto se denomina “inventario publicitario”.

  1. ¿Cómo comercializa el soporte el inventario publicitario?

El soporte comercializa el inventario publicitario a través de los siguientes agentes:

  • Redes publicitarias.
  • Supply side platform (SSP) son plataformas tecnológicas publicitarias que permiten conectar un inventario a diversos ad-exchanges (lugar donde se unen oferta y demanda para realizar transacciones comerciales de compra y venta, donde los anunciantes y los soportes/editores se ponen en contacto).
  • Agencias y/o anunciantes mediante acuerdos directos accediendo a sus ad-servers (plataformas de gestión utilizadas para administrar el inventario de anuncios de un editor, suelen emplear cookies de terceros, de forma que estas cookies son enviadas al equipo terminal del usuario no desde un dominio gestionado y controlado por el propio editor, sino desde uno gestionado por el ad-server, almacena los anuncios y los sirve al editor).

Las cookies publicitarias que se instalan en el navegador del usuario pueden provenir de los siguientes agentes:

  • Supply side platform (SSP).
  • Anunciantes, agencias y sus ad-servers o servidor de anuncios o sus DMP.
  • Ad-exchanges
  1. ¿Quién es el anunciante?

Es la entidad cuyos productos, servicios o imagen se publicitan a través de los espacios publicitarios de los que disponen, en su caso, los editores en sus páginas u otras aplicaciones desde las que prestan los servicios a los usuarios. En este sentido, actúa como demandante de espacios publicitarios.

Frecuentemente, el editor también suele actuar como anunciante. En estos casos, el editor actúa como anunciante desde el momento en que para realizar publicidad del servicio que presta a los usuarios se sirve de los espacios publicitarios que ponen a su disposición otros editores.

  1. ¿Quién es el agente comprador?

Son los agentes interesados en la difusión de la publicidad. Determinan el presupuesto total que van a emplear en una campaña publicitaria, definen el público objetivo y proporcionan los materiales creativos, son los que estipulan el precio de puja mínimo que están dispuestos a pagar por impresión. Esta función se puede llevar a cabo por diferentes actores. Su intervención puede ser:

  • a través de una agencia de medios
  • de forma directa tratando con los SSPs
  • de forma directa tratando con los editores mediante los ad-servers (o servidor de anuncios)
  1. ¿Qué es una plataforma de gestión del consentimiento (Consent Magement Platform o CMP)?

Es una herramienta que se instala en el soporte del editor, página web o aplicación y permite que cualquier responsable de la utilización de cookies cumpla sus deberes de información y recogida de consentimiento. Para que sea válida, es necesario que permita a las entidades que la utilizan, tanto editores como otros agentes, cumplir los requisitos que establece la normativa. En particular, deberá crearse un entorno coordinado y coherente en el que, mediante la articulación de acuerdos o marcos contractuales, editores y terceros estén obligados a:

  • Cumplir los requisitos de transparencia frente a los usuarios.
  • Obtener un consentimiento válido de los usuarios.
  • Permitir la gestión de esos consentimientos, incluida su revocación.

Estas plataformas deberán estar sometidas a auditorías o revisiones que validen el cumplimiento de los referidos requisitos.

  1. ¿Qué son las agencias de publicidad y agencias de medios?

Son entidades que se encargan del diseño y ejecución de publicidad, así como de la creación, preparación o programación de las campañas publicitarias de los anunciantes, actuando en nombre y por cuenta de estos en la compra de espacios publicitarios. En este sentido, también se les puede considerar como demandantes de espacios publicitarios para los anunciantes.

  1. ¿Qué son las redes publicitarias o ad-networks?

Son un conjunto de entidades que, actuando en nombre y representación directa o indirectamente de uno o varios editores, ofrecen, también directamente a los anunciantes o, indirectamente a través otros demandantes, como las agencias de publicidad, la posibilidad de obtener espacios publicitarios o algún tipo de resultado concreto como clics, ventas o registros, a través de la gestión y tratamiento de los datos obtenidos de la utilización de las cookies descargadas o almacenadas en los equipos terminales de los usuarios, cuando estos acceden a los servicios prestados por el editor.

Su objetivo es llevar a cabo, la gestión del inventario de espacios publicitarios, cuya titularidad, corresponde a los editores, de forma que converja con la demanda de los anunciantes (venden el espacio publicitario de los editores). Es el editor quien decide si la totalidad o parte del inventario, del que dispone, es gestionado por una entidad en exclusiva o por varias entidades simultáneamente en función de los criterios que establezca.

Este tipo de entidades suelen realizar una agregación de la oferta de los espacios publicitarios y de los inventarios de varios editores. También pueden comprar inventario de distintos editores para las campañas publicitarias que realizan las agencias de publicidad.

Algunas de estas entidades recaban, mediante las cookies que gestionan, información de los hábitos de navegación de los usuarios que acceden a los servicios o páginas ofrecidos por cualquiera de los editores a quienes representan. Los datos son recabados con la finalidad de que la difusión de las piezas publicitarias de los anunciantes sea lo más eficiente posible. Para ello, analizan los hábitos de los usuarios en Internet con el fin de ofrecerles la publicidad más adecuada a los intereses asociados a su perfil de navegación. Este tipo de entidades actúan en el lado de la oferta, como ofertantes de espacios, en nombre y representación, directa o indirectamente de uno o varios editores.

A pesar de que este tipo de entidades muestran a sus clientes de manera agregada los datos obtenidos como resultado de la utilización de las cookies, será necesario informar y obtener el consentimiento de los usuarios para la recogida de dichos datos y su agregación y tratamiento posterior con la finalidad de gestionar la oferta de los espacios de los editores. Generalmente, se realizará desde la página web de los editores que usen este tipo de cookies propias o de terceros.

Para llevar a cabo la gestión de estos espacios publicitarios de la forma más eficaz posible, se emplean diferentes tipos de equipos, tecnologías, programas o aplicaciones de gestión, como ad-servers, ad-exchanges, etc. Estos tratan a tiempo real los datos obtenidos, de forma que las piezas publicitarias de los anunciantes se incluyen en los espacios publicitarios de los editores de forma automática, en función de los criterios que se establezcan en cada caso.

Es frecuente que esta labor de gestión sea subcontratada de forma total o parcial a otras empresas especializadas en el desarrollo de las actuaciones necesarias para la gestión de los espacios publicitarios.

  1. ¿Qué es el trading-desk?

Es el equipo técnico de personas, dentro o fuera de una agencia de medios, que a través de la conexión con múltiples DSP (tecnología de puja que permite a anunciantes y/o agencias de medios comprar inventario en diferentes ad-exchanges -lugares donde se unen oferta y demanda-), optimizar la compra programática de los anunciantes. Los anunciantes también tienen trading-desk.

Generalmente, el trading-desk está enfocado hacia la compra inteligente de audiencias mediante tecnologías de optimización en múltiples plataformas (ad-exchanges, networks, DSPs, soportes), de tal manera que comprará aquella impresión de manera más eficiente para los objetivos de sus clientes/anunciantes.

  1. ¿Qué es un Ad-Exchange?

Es el lugar donde se unen oferta y demanda para realizar transacciones comerciales de compra y venta, donde los anunciantes crean y gestionan sus campañas y los soportes ofrecen y gestionan sus espacios publicitarios.

Los ad-exchanges proveen de una plataforma tecnológica que facilita la automatización de las subastas basadas en precio y las compras en tiempo real, lo que conocemos como RTB (real time bidding). Así pues, el principio de funcionamiento de un adexchange es la puja en tiempo real.

Los ad-exchanges instalan cookies en el usuario, y algunos, las cifran o realizan hash cuando las remiten a los DSP asociado con ellos para evitar que las cookies fijadas por las redes de anunciantes se filtren a terceros.

  1. ¿Qué es un DSP (Demand side platform) o bidder?

Es una tecnología de puja que permite a anunciantes y/o agencias de medios comprar inventario en diferentes ad-exchanges.

  • Evalúan el valor de cada impresión.
  • Optimizan el precio de puja utilizando los datos de la audiencia.
  • Pujan por el inventario.

La compra se hace impresión a impresión, es decir “puja en tiempo real”. Un DSP tiene una interfaz única que permite pujar, optimizar y obtener informes.

El DSP no puede acceder a las cookies del usuario hasta que contacte con el mismo y eso no podrá hacerlo sin ganar la subasta del espacio, por eso los ad-exchange y anunciantes utilizan la cookie matching o cookie syncing.

  1. ¿Qué es una SSP (Supply Side Platform)?

Son plataformas tecnológicas publicitarias que permiten conectar un inventario a diversos ad-exchanges.

  1. ¿Cuáles son las empresas de análisis y medición?

Son entidades que miden y/o analizan la navegación de los usuarios en la página web de un editor y su comportamiento con cualquiera de sus elementos o con la publicidad, a través del análisis de los datos obtenidos con la utilización de las cookies.

Generalmente, para la prestación de este tipo de servicios se utilizan lo que se denominan “cookies de terceros”, es decir, cookies que son enviadas al equipo terminal del usuario no desde un equipo o dominio gestionado y controlado por el editor, sino desde un equipo o dominio gestionado por la propia entidad que realiza el análisis de los datos.

Dada la multiplicidad de entidades intervinientes, corresponderá a cada una de ellas analizar la labor que desarrolla para posicionarse en uno u otro papel de cara a la determinación de la responsabilidad en la que incurren y al cumplimiento de las obligaciones establecidas en la normativa.

  1. ¿Qué es un DMP (data management platform)?

Es una plataforma de gestión de datos que recoge, almacena y empaqueta o agrupa y transfiere datos de consumidores y usuarios que recibe de diferentes fuentes o proveedores de datos. El DMP puede categorizar los datos de consumidores y usuarios a través de una fuente de datos externa sociodemográfica e intereses según su navegación (3rd party data). El DMP puede ser de agencia, de cliente o externalizado. Hay ocasiones en las que el DMP puede tomar decisiones sobre los datos personales.

TIPOS DE COOKIES

  1. ¿Qué tipos de cookies existen?
  • Según quién sea la entidad que gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos distinguir: propias y de terceros.
  • Según la finalidad para la que se traten los datos obtenidos a través de las cookies, algunas de las finalidades más habituales pueden ser: técnicas, de preferencias o personalización, de análisis o medición, de publicidad comportamental. Los editores y los terceros podrán realizar las categorizaciones que consideren que mejor se ajustan a las finalidades de las cookies que utilizan, de forma que se respete el principio de transparencia frente a los usuarios.
  • Según el plazo de tiempo que permanecen activadas en el equipo terminal podemos distinguir: de sesión o persistentes.
  1. ¿Qué tipos de cookies existen en función de la entidad que las gestione?

Según quién sea la entidad que gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos distinguir entre:

  • Cookies propias: son aquellas de las que es responsable el propio editor y que, generalmente, se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.
  • Cookies de tercero: son aquellas de las que es responsable una entidad distinta del editor y que, generalmente, se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos a través de las cookies.

En el caso de que las cookies sean servidas desde un equipo o dominio gestionado por el propio editor, pero la información que se recoja mediante estas sea gestionada por un tercero, no pueden ser consideradas como cookies propias si el tercero las utiliza para sus propias finalidades (por ejemplo, la mejora de los servicios que presta o la prestación de servicios de carácter publicitario a favor de otras entidades).

  1. ¿Qué tipos de cookies existen según su finalidad?

Existen muchas según sus finalidades, los editores y los terceros podrán realizar las categorizaciones que consideren que mejor se ajustan a las finalidades de las cookies que utilizan, de forma que se respete el principio de transparencia frente a los usuarios, a título orientativo, algunas de las más habituales pueden ser:

  • Cookies técnicas: son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, gestionar el pago, controlar el fraude vinculado a la seguridad del servicio, realizar la solicitud de inscripción o participación en un evento, contar visitas a efectos de la facturación de licencias del software con el que funciona el servicio (sitio web, plataforma o aplicación), utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de vídeos o sonido, habilitar contenidos dinámicos (por ejemplo, animación de carga de un texto o imagen) o compartir contenidos a través de redes sociales.

También pertenecen a esta categoría, por su naturaleza técnica, aquellas cookies que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, como un elemento más de diseño o “maquetación” del servicio ofrecido al usuario, el editor haya incluido en una página web, aplicación o plataforma en base a criterios como el contenido editado, sin que se recopile información de los usuarios con fines distintos, como puede ser personalizar ese contenido publicitario u otros contenidos.

Las cookies técnicas estarán exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI cuando permitan prestar el servicio solicitado por el usuario, sin embargo, si estas cookies se utilizan también para finalidades no exentas (por ejemplo, para fines publicitarios comportamentales), quedarán sujetas a dichas obligaciones.

  • Cookies de preferencias o personalización: son aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual accede al servicio o de la región desde la que accede al servicio, etc.

Si es el propio usuario quien elige esas características (por ejemplo, si selecciona el idioma de un sitio web clicando en el icono de la bandera del país correspondiente, la moneda que desea utilizar en las transacciones, el tamaño de fuente o el contraste de color entre el fondo y el contenido para mejorar la legibilidad), las cookies estarán exceptuadas de las obligaciones del artículo 22.2 de la LSSI, ello siempre y cuando las cookies obedezcan exclusivamente a la finalidad seleccionada. Estas cookies de preferencias que afectan a la interfaz de usuario no necesariamente tendrán que ser de sesión, ya que solicitar que el usuario determine sus preferencias a estos efectos cada vez que se visita un sitio web o se accede a una aplicación puede resultar molesto y provocarle fatiga. Ahora bien, para que estas cookies se consideren exentas, su uso deberá limitarse al necesario para su fin, y la información que pueda desprenderse de la selección del usuario no podrá emplearse para otros fines (por ejemplo, para la personalización de contenidos publicitarios) ni para elaborar un perfil del usuario.

  • Cookies de análisis o medición: son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

Respecto al tratamiento de datos recabados a través de las cookies de análisis, el GT29 manifestó que, a pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.

  • Cookies de publicidad comportamental: son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
  1. ¿Qué tipos de cookies existen según el tiempo que permanecen activas?
  • Cookies de sesión: son aquellas diseñadas para recabar y almacenar datos mientras el usuario accede a una página web. Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (por ejemplo, una lista de productos adquiridos) y desaparecen al terminar la sesión.
  • Cookies persistentes: son aquellas en las que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

A este respecto debe valorarse específicamente si es necesaria la utilización de cookies persistentes, puesto que los riesgos para la privacidad podrían reducirse mediante la utilización de cookies de sesión. En todo caso, cuando se instalen cookies persistentes, se recomienda reducir al mínimo necesario su duración temporal atendiendo a la finalidad de su uso.

A estos efectos, el Dictamen 4/2012 del GT29 indicó que para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello, es mucho más probable que se consideren como exceptuadas las cookies de sesión que las persistentes.

INFORMACIÓN

  1. ¿Se debe informar al usuario siempre que se instalen cookies, aunque sean necesarias (técnicas o de personalización)?

Sí, siempre que su instalación conlleve el tratamiento de datos personales y se considerará que existe tratamiento de datos personales cuando el usuario esté identificado por un nombre o dirección de correo electrónico que lo identifique (por ejemplo, por tratarse de un usuario registrado) o cuando se utilicen identificadores únicos que permitan distinguir unos usuarios de otros y realizar un seguimiento individualizado de los mismos (por ejemplo, un ID de publicidad).

En el caso de las cookies necesarias podría entenderse que al estar excluidas del ámbito de aplicación del art. 22.2 LSSI, no sería necesario informar. Sin embargo, por razones de transparencia, se recomienda hacerlo, al menos con carácter genérico, ya sea en la política de cookies o en la propia política de privacidad (por ejemplo: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”).

  1. ¿Cuándo pueden utilizarse y, en su caso, instalarse las cookies?

Según el artículo 22 de la LSSI: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos (cookies) en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la normativa de protección de datos”.

En consecuencia, la utilización de la cookie podrá tener lugar cuando el usuario disponga de la información preceptiva sobre las mismas y la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos adecuados. En este sentido, la utilización de las cookies debería ir acompañada por un consentimiento informado de los usuarios para tal utilización, de forma que los destinatarios tengan la oportunidad de examinar la información y decidir si aceptan o no la utilización de las mismas.

  1. ¿Qué información debe facilitarse al usuario sobre las cookies?

El art. 22.2 LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de las cookies y, en particular, sobre los fines del tratamiento de los datos, conforme al RGPD, que requiere que el tratamiento de los datos de los usuarios se realice de forma transparente para ellos, de manera que les permita entender sus finalidades y el uso que se les dará.

Por tanto, en la política de cookies deberá incluirse la siguiente información:

  • Definición y función genérica de las cookies.
  • Información sobre el tipo de cookies que se utilizan y su finalidad. En el caso de que no fuera posible para el editor ofrecer una explicación suficiente sobre la finalidad de las cookies utilizadas por terceros o la forma de eliminarlas, puede facilitar esta información incluyendo un enlace a la página web del tercero. Las plataformas de gestión del consentimiento (consent magement platform o CMP) pueden ser una solución.
  • Identificación de quién utiliza las cookies, esto es, si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros con los que editor haya contratado la prestación de un servicio para el cual se requiera el uso de cookies, con identificación de estos últimos. No será necesario que la información concreta sobre los terceros (su nombre o marca con la que el público pueda conocerlos y, en su caso, el enlace a la información que ofrece sobre sus cookies) sea directamente visible en la política de cookies, sino que podrán utilizarse mecanismos como botones que desplieguen esa información más específica o texto emergente que aparezca al pasar el puntero del ratón por encima. Todo esto, siempre que el usuario pueda acceder fácilmente a la información si así lo desea.
  • Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies enunciadas a través de las funcionalidades facilitadas por el editor (el sistema de gestión o configuración de cookies que se haya habilitado) o a través de las plataformas comunes que pudieran existir para esta finalidad.

Si el sistema de gestión o configuración de las cookies del editor no permite evitar la utilización de las cookies de terceros una vez aceptadas por el usuario, se facilitará información sobre las herramientas proporcionadas por el navegador y los terceros y se deberá advertir que, si el usuario acepta cookies de terceros y posteriormente desea eliminarlas, deberá hacerlo desde su propio navegador o el sistema habilitado por los terceros para ello. A estos efectos, y sin perjuicio de tener que disponer del correspondiente sistema de gestión o configuración de cookies, se podrá facilitar adicionalmente la siguiente información: “Tenga en cuenta que, si acepta las cookies de terceros, deberá eliminarlas desde las opciones del navegador o desde el sistema ofrecido por el propio tercero”.

  • En su caso, información sobre las transferencias de datos a terceros países realizadas por el editor. La opinión del GT29 sobre este punto, refrendada por el CEPD, es que debe especificarse el artículo del RGPD que permite la transferencia, identificar a los terceros países y proporcionar información sobre dónde y cómo se puede acceder a la decisión de adecuación o a las garantías adecuadas o apropiadas, incluidas las normas corporativas vinculantes, que, en su caso, permitan la transferencia. En ausencia de estas, se debe informar al usuario del riesgo de realizar la transferencia sin nivel de adecuación o de garantías apropiadas, si se pretende obtener su consentimiento explícito.

Respecto de las transferencias que, en su caso, realicen terceros, será válida la remisión a la información que faciliten esos terceros.

  • Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar, será necesario que se informe sobre la lógica utilizada, así como la importancia y las consecuencias previstas de dicho tratamiento para el usuario en los términos establecidos en el artículo 13.2 f) del RGPD.
  • Periodo de conservación de los datos para los diferentes fines en los términos establecidos en el artículo 13.2 a) del RGPD.
  • En relación con el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad.
  1. ¿Cómo debe ser la información que se facilite sobre cookies?
  • Debe ser concisa, transparente e inteligible.
  • Debe ser de fácil acceso.
  • Se ha de utilizar un lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje.
  1. ¿Cómo debe mostrarse la información por capas sobre cookies?

En la primera capa, que para mayor claridad podrá identificarse bajo un término de uso común (como, por ejemplo, “cookies”), se incluiría la siguiente información:

  • Identificación del editor responsable del sitio web. No será necesaria la denominación social, siempre que sus datos identificativos completos figuren en otras secciones del sitio web (aviso legal, política de privacidad, etc.) y su identidad pueda desprenderse de forma evidente del propio sitio web (por ejemplo, cuando el propio dominio se corresponda con el nombre del editor o la marca con la que se identifica frente al público o dicho nombre o marca figuren claramente en el sitio web). Si no fuera así, debería identificarse al editor en esta primera capa.
  • Identificación de las finalidades de las cookies que se utilizarán.
  • Información sobre si las cookies son propias o también de terceros, sin que sea necesario identificar a los terceros en esta primera capa.
  • Información genérica sobre el tipo de datos que se van a recopilar y utilizar en caso de que se elaboren perfiles de los usuarios (por ejemplo, cuando se utilicen cookies de publicidad comportamental).
  • Modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies. Esta primera capa deberá contener un botón o mecanismo equivalente, clara y fácilmente visible:
    • Con las palabras “Aceptar cookies”, “Aceptar”, “Consentir” o textos similares, para consentir el uso de todas las cookies.
    • Con las palabras “Rechazar cookies”, “Rechazar” o textos similares, para rechazar el uso de cookies, salvo aquellas que estén exentas de la obligación de obtener un consentimiento informado (si se utiliza un botón para aceptar, deberá utilizarse un botón para rechazar). La opción de rechazar deberá ofrecerse al usuario al mismo tiempo, al mismo nivel y con la misma visibilidad que la de aceptarlas, sin remitirle a otra capa o lugar diferente para realizar esa acción.
    • Con las palabras “Configurar cookies”, “Configurar” o textos similares, no necesariamente similar a los anteriores, que despliegue o lleve a un panel de configuración que permita aceptar o rechazar las cookies de forma granular, al menos en función de su finalidad.

En todo caso, teniendo en cuenta el texto del aviso y los mecanismos empleados, la función que cumple cada uno de estos mecanismos deberá ser evidente para el usuario. Además:

    • No se podrá dar al usuario la impresión de que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web.
    • No se podrá empujar claramente al usuario a aceptar las cookies.
    • El color o contraste del texto y los botones (o mecanismos equivalentes) no podrán ser obviamente engañosos para los usuarios, de forma que lleven a un consentimiento involuntario. No será válido, por ejemplo, que la opción para rechazar las cookies sea un botón con un texto que no contrasta lo suficiente con el color del botón y, por lo tanto, no pueda leerse.
  • Un enlace claramente visible dirigido a una segunda capa informativa en la que se incluya una información más detallada, utilizando, por ejemplo, el término “Cookies”, “Política de cookies” o “Más información, pulsa aquí”. El panel de configuración de cookies podrá estar integrado en esta segunda capa, siempre que, al facilitar acceso al mismo (por ejemplo, desde un botón o enlace incluido en la primera capa), ese acceso sea directo. Es decir, que el usuario no tenga que navegar dentro de esta segunda capa para localizar el panel de configuración. Esta información se facilitará antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el mismo realice la acción requerida para la obtención del consentimiento o su rechazo.

En la segunda capa, que debe encontrarse disponible de forma permanente en el sitio web o en la aplicación, se incluiría toda la información sobre cookies.

  1. ¿Cómo debe mostrarse el panel de configuración de cookies?

Como buena práctica, este panel de configuración no debería incluirse en aquellos casos en los que solo se utilicen cookies para una finalidad y, por lo tanto, el usuario solo pueda elegir entre aceptar o rechazar las cookies correspondientes a esa finalidad. No obstante, dado que las cookies que se utilizan pueden variar con el tiempo (por ejemplo, inicialmente podrían estar utilizándose únicamente cookies para fines de análisis, pero luego utilizarse también para fines de personalización, y después volver a utilizarse únicamente cookies de análisis), el panel de configuración y el mecanismo de acceso al mismo podrán mantenerse incluso cuando no sean estrictamente necesarios, para así evitar cambios recurrentes en el aviso de cookies y los costes que ello puede conllevar.

El botón o mecanismo para configurar las cookies de la primera capa, debe llevar al usuario directamente al panel de configuración, sin que tenga que desplazarse por grandes cantidades de texto buscando la información, que deberá seguir siendo accesible de forma permanente. El panel podrá integrarse en la segunda capa informativa.

En el panel de configuración debe indicarse o desprenderse claramente cómo guardar la selección realizada por el usuario. A estos efectos, sería válido por ejemplo un botón con el texto “Guardar selección”, “Guardar configuración” o textos similares.

Para facilitar la selección, en el panel podrán además implementarse dos botones, uno para seleccionar todas las categorías de cookies y otro para rechazarlas todas si el usuario las ha seleccionado previamente, siendo esta opción recomendable cuanto mayor sea el número distinto de categorías en las que se hayan clasificado las cookies. Si el usuario guarda su elección sin haber seleccionado ninguna cookie, equivaldrá al rechazo de todas las cookies. En ningún caso son admisibles las opciones premarcadas a favor de aceptar cookies para obtener un consentimiento válido.

Respecto del panel de configuración, el grado de granularidad a la hora de mostrar la selección de cookies deberá valorarlo el editor del sitio web, si bien es aconsejable que se tengan en cuenta las siguientes reglas:

  • Las cookies deberían agruparse al menos por su finalidad, de forma que el usuario pueda aceptar las cookies para una o más finalidades y, en cambio, no para otra u otras, siempre que la distinción entre unas finalidades y otras sea clara, puede haber muchas formas distintas de agrupar las cookies según su finalidad.
  • Dentro de cada finalidad, y a elección del editor del sitio web, las cookies podrían agruparse también en función del tercero responsable de las mismas.
  • En relación con las cookies de terceros es suficiente con identificar a estos por su nombre o por la marca con la que se identifican de cara al público, sin incluir la denominación social completa.
  • Debe evitarse el grado máximo de granularidad (selección cookie a cookie, incluso dentro de la misma finalidad), ya que el exceso de información dificulta la toma de decisiones.
  1. ¿Sólo se puede mostrar la información de cookies por capas?

No, existen otras formas de facilitar la información sobre cookies. Por ejemplo:

  • A través de un aviso suficientemente visible que incluya toda la información sobre cookies, debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.
  • Al solicitar el alta en un servicio, o antes de descargar un servicio o una aplicación, podrá suministrarse esta información junto con la política de privacidad, o con los términos y condiciones de uso del servicio, siempre que exista un enlace o acceso directo a la sección relativa a cookies dentro del correspondiente documento.

A fin de mantener la visibilidad de la información sobre las cookies, esta deberá estar destacada y separada (mediante un hiperenlace distinto, por ejemplo) del resto de la información sobre términos y condiciones de uso o política privacidad.

En estos supuestos también será posible suministrar la información y obtener el consentimiento a través de medios convencionales (off-line), siempre y cuando, quede constancia de que los usuarios han sido informados individualmente y han facilitado su consentimiento (tarjetas de fidelización, por ejemplo).

CONSENTIMIENTO

  1. ¿Qcookies están exentas de la obligación de solicitar el consentimiento para su instalación en el equipo del usuario?

Una misma cookie puede tener más de una finalidad, por lo que existe la posibilidad de que para una finalidad quede exceptuada y, para otra, necesite el consentimiento. Esto, según el GT29, debería incitar al editor a utilizar una cookie diferente para cada finalidad.

Están exentas de solicitar el consentimiento las cookies de carácter técnico y las necesarias para el funcionamiento del sitio web y las de prestación de servicios expresamente solicitados por el usuario:

1) Cookies técnicas: son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, gestionar el pago, controlar el fraude vinculado a la seguridad del servicio, realizar la solicitud de inscripción o participación en un evento, contar visitas a efectos de la facturación de licencias del software con el que funciona el servicio (sitio web, plataforma o aplicación), utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de vídeos o sonido, habilitar contenidos dinámicos (por ejemplo, animación de carga de un texto o imagen) o compartir contenidos a través de redes sociales.

También pertenecen a esta categoría, por su naturaleza técnica, aquellas cookies que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, como un elemento más de diseño o “maquetación” del servicio ofrecido al usuario, el editor haya incluido en una página web, aplicación o plataforma en base a criterios como el contenido editado, sin que se recopile información de los usuarios con fines distintos, como puede ser personalizar ese contenido publicitario u otros contenidos.

Es decir, estarán exceptuadas de la obligación de solicitar el consentimiento cuando permitan prestar el servicio solicitado por el usuario. Sin embargo, si estas cookies se utilizan también para finalidades no exentas (por ejemplo, para fines publicitarios comportamentales), quedarán sujetas a dichas obligaciones.

2) Cookies de preferencias o personalización: son aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio, etc.

Si es el propio usuario quien elige esas características (por ejemplo, si selecciona el idioma de un sitio web clicando en el icono de la bandera del país correspondiente, la moneda que desea utilizar en las transacciones, el tamaño de fuente o el contraste de color entre el fondo y el contenido para mejorar la legibilidad), las cookies estarán exceptuadas de la obligación de solicitar el consentimiento por considerarse un servicio expresamente solicitado por el usuario, y ello siempre y cuando las cookies obedezcan exclusivamente a la finalidad seleccionada. Estas cookies de preferencias que afectan a la interfaz de usuario no necesariamente tendrán que ser de sesión, ya que solicitar que el usuario determine sus preferencias a estos efectos cada vez que se visita un sitio web o se accede a una aplicación puede resultar molesto y provocarle fatiga. Ahora bien, para que estas cookies se consideren exentas, su uso deberá limitarse al necesario para su fin, y la información que pueda desprenderse de la selección del usuario no podrá emplearse para otros fines (por ejemplo, para la personalización de contenidos publicitarios) ni para elaborar un perfil del usuario.

El GT29, en su Dictamen 4/2012, interpretó que entre las cookies exceptuadas estarían aquellas que tienen por finalidad:

  • Cookies de “entrada del usuario”.
  • Cookies de autenticación o identificación de usuario (únicamente de sesión).
  • Cookies de seguridad del usuario.
  • Cookies de sesión de reproductor multimedia.
  • Cookies de sesión para equilibrar la carga.
  • Cookies de personalización de la interfaz de usuario.
  • Determinadas cookies de complemento (plug-in) para intercambiar contenidos sociales.

Así pues, puede entenderse que estas cookies quedan excluidas del ámbito de aplicación del artículo 22.2 de la LSSI, y, por lo tanto, no sería necesario obtener el consentimiento sobre su uso.

  1. ¿Cómo debe obtenerse y cómo debe ser el consentimiento para la instalación de cookies para que sea válido?

Para que sea válido será necesario que haya sido otorgado de forma libre e informada. Por tanto, es necesario tener en cuenta:

  • Su obtención a través de un clic del usuario o de una conducta similar facilitará la prueba de que se ha obtenido. Esta fórmula puede ser la más apropiada para usuarios registrados.
  • También podrá obtenerse infiriéndolo de una inequívoca acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies. Es decir, que el usuario deberá haber realizado una clara acción afirmativa.

En ningún caso la mera inactividad del usuario implica la prestación del consentimiento por sí misma.

  • Que tiene que ser evidente para el usuario con qué concreta acción suya acepta la utilización de las cookies. En este sentido, el uso de un botón del tipo “Aceptar” se considerará información suficiente, sin necesidad de aclarar que pulsando “Aceptar” se aceptan las cookies. En cambio, acciones complejas o menos obvias que el uso de botones de aceptación o guardado de la configuración escogida deberán explicarse al usuario.
  • El CEPD ha establecido que seguir navegando no es una forma válida de prestar el consentimiento. Del mismo modo, la consulta de la segunda capa informativa si la información se presenta por capas, así como la navegación necesaria para que el usuario gestione sus preferencias en relación con las cookies no es una conducta activa de la que pueda derivarse la aceptación de cookies.
  • Que el usuario, en todo caso, podrá negarse a aceptar las cookies. La opción para rechazar las cookies deberá ofrecerse en la misma capa y al mismo nivel que la opción para aceptarlas y el mecanismo empleado al efecto (botón u otro) deberá ser similar.
  • Que la información que se otorgue al usuario para que pueda consentir la utilización de las cookies se encuentre separada de la información que se le ofrezca sobre otros asuntos.
  • Que la aceptación de los términos o condiciones de uso de la página web o servicio se separe de la aceptación de la política de privacidad o cookies.
  • Que, aunque las cookies no suelen utilizarse en escenarios en los que el RGPD exige el consentimiento explícito de los interesado, cuando este consentimiento explícito sea necesario (artículos 9.2 a), 22.2 c) y 49.1 a) del RGPD), el consentimiento solo podrá obtenerse mediante botones de aceptación, siempre que incluya una leyenda específica con el término “consiento” y se facilite información completa sobre las categorías especiales de datos respecto de las que se consienten, las decisiones individuales automatizadas o las transferencias a terceros países, según el caso.
  1. ¿Cada cuánto tiempo se debe renovar el consentimiento obtenido para la instalación de cookies?

En Europa el CEPD, en sus directrices 05/2020 sobre el consentimiento recomienda como mejor práctica la renovación del consentimiento a intervalos apropiados.

En España, la AEPD considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.

  1. ¿Cómo debe ser el sistema que se ofrezca para la revocación del consentimiento para la instalación de cookies?

Los usuarios deberán poder revocar el consentimiento previamente otorgado en cualquier momento y de manera fácil, tan fácil como cuando lo prestó. A tal fin, el editor deberá asegurarse de que facilita información a los usuarios en su política de cookies sobre cómo poder hacerlo, se considerará que existe esa facilidad en el sistema para retirar el consentimiento, por ejemplo, cuando el usuario tenga acceso sencillo y permanente al sistema de gestión o configuración de las cookies.

  1. ¿De qué formas podemos obtener el consentimiento?

Con independencia de la modalidad de obtención del consentimiento, la opción de rechazar las cookies deberá ofrecerse al usuario al mismo tiempo, al mismo nivel y con la misma visibilidad que la de aceptarlas, sin remitirle a otra capa o lugar diferente para realizar esa acción.

Caben, entre otros, los siguientes mecanismos de obtención del consentimiento:

  • Al solicitar el alta en un servicio. Siempre que esté separado y no se agrupe con la aceptación de los términos y condiciones de uso de la página web, de su política de privacidad o de las condiciones generales del servicio.
  • Durante el proceso de configuración del funcionamiento de la página web o aplicación. Cuando el usuario configura idioma, tipo de letra, color de fondo de pantalla, si pueden acceder a información de su terminal (agenda, para sugerir amigos o álbum de fotos etc.), quedando el consentimiento integrado en la elección del usuario y recordando los ajustes elegidos por este.
  • A través de plataformas de gestión del consentimiento (consent management platform o CMP). En la medida en que cumplan los requisitos y garantías establecidos para estas plataformas.
  • Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido, por ejemplo, en la página web. En tales casos, si las cookies que se pretenden utilizar no son necesarias para el funcionamiento del servicio o de la aplicación, se debe permitir a los usuarios dar su consentimiento antes de la descarga del servicio o de la aplicación. Ha de recordarse que en el caso de que una página web ofrezca contenidos audiovisuales, estos son parte del servicio expresamente solicitado por el usuario, estando por tanto exceptuado del deber de requerir tal consentimiento para mostrar tal contenido. Si el usuario desea ejercer un derecho que le está legalmente reconocido (por ejemplo, la baja en un servicio telefónico, de acceso a Internet o de otro tipo) y la aplicación o servicio es el único medio facilitado al usuario para ejercerlo, no podrá condicionarse el acceso a la aplicación o servicio a la aceptación de las cookies no necesarias.
  • A través del formato de información por capas. La primera capa, que contiene la información esencial, debe incluir también la petición del consentimiento para la utilización de las cookies. En estos casos, el usuario manifiesta si acepta o no la utilización de las cookies al realizar la clara acción afirmativa o la acción para rechazarlas de las que ha sido adecuadamente informado, y también es informado, de modo permanente, en la segunda capa sobre la utilización de las cookies y el modo de configurarlas y/o rechazarlas. A estos efectos, y a modo de ejemplo, puede constituir consentimiento que el usuario, tras haber sido informado sobre el uso de cookies, clique en un botón de aceptación, siempre y cuando, en este caso, se haya habilitado también un botón de rechazo, al mismo tiempo, al mismo nivel y con la misma visibilidad que la de aceptarlas, sin remitirle a otra capa o lugar diferente para realizar esa acción. La información que se ofrezca en esta primera capa se podrá mostrar a través de un formato que sea visible para el usuario, como por ejemplo un banner, una barra o a través de técnicas o dispositivos similares, teniendo en cuenta que la localización en la parte superior de la página normalmente capta mejor la atención de los usuarios. En los terminales de pantalla reducida se podrá adecuar el tamaño y el contenido de primera capa a las dimensiones de la misma.
  • A través de la configuración del navegador. Para ello, la configuración del navegador debería poder utilizarse de forma que permita que los usuarios manifiesten su conformidad con la utilización de las cookies según lo dispuesto en el RGPD y teniendo en cuenta lo dictaminado por el CEPD en sus directrices sobre el consentimiento. Es decir, el consentimiento debería ser granular, prestado para cada uno de los fines previstos y la información que se facilita debería identificar a los responsables del tratamiento. A efectos de esta identificación, no será necesaria la denominación social completa, sino que será suficiente incluir la marca o nombre con el que el responsable se identifique de cara al público. No serviría como mecanismo único para que el usuario pueda revocar el consentimiento y el editor debe ofrecer al usuario, en todo caso, una fórmula para que pueda revocarlo a través de su propia página web o, en su caso, facilitar información sobre las herramientas proporcionadas para la retirada del consentimiento, por los terceros que utilizan las cookies, para que el usuario pueda ejercer este derecho tan fácilmente como lo otorgó.
  1. ¿Cómo obtener el consentimiento en el caso de menores?

Se deben adoptar cautelas adicionales como son una mayor sencillez y claridad del lenguaje empleado. Tratándose de menores de 14 años, el responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento para el tratamiento de datos personales fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias del tratamiento. Así, entre otros factores, a la hora de establecer medidas para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela, deberá considerarse el nivel de riesgo asociado a la utilización de las cookies (por ejemplo, teniendo en cuenta la naturaleza de los datos que se recopilan) y atenderse especialmente al principio de minimización de datos. A menor riesgo, más sencillo podrá ser el sistema de verificación implementado.

Por ejemplo, tratándose de usuarios no registrados de un sitio web dirigido a menores, si sus datos de dispositivo y de navegación se utilizan únicamente con fines analíticos, el consentimiento del titular de la patria potestad o tutela podría obtenerse previa advertencia o llamada dirigida al menor indicándole en la primera capa informativa que, si tiene menos de 14 años, antes de seguir navegando, avise a su padre, madre o tutor para que acepte o rechace las cookies, evitando, por tanto, solicitar datos adicionales del menor o del titular de la patria potestad o tutela.

Cuando el uso proyectado de los datos tenga por objeto recordar determinada información del usuario o su terminal para alterar automáticamente determinados aspectos de la navegación y personalizar su experiencia (por ejemplo, el aspecto con el que se presentan los contenidos), sin que se llegue a elaborar un perfil del menor, generalmente, y a falta del correspondiente análisis de riesgos conforme a las circunstancias concretas del caso, deberían adoptarse cautelas adicionales para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela.

Así, por ejemplo, podría preguntarse en primer lugar al usuario si tiene 14 años o más y, en caso de respuesta negativa, incluir el siguiente mensaje:

“Llama a tu padre, madre o tutor para que lea este mensaje y ponga en qué año nació: [CAMPO PARA INCLUIR EL AÑO] (este dato no se almacenará, se utilizará solo para comprobar el consentimiento). Utilizamos cookies propias y de terceros para saber cómo utilizas nuestro sitio web y hacer estadísticas, y también para personalizar tu visita (por ejemplo, cambiando el aspecto de nuestras páginas web o juegos según cómo los usas).

Más información.

Tu padre, madre o tutor puede aceptar o rechazar las cookies pulsando los botones de este mensaje o configurarlas AQUÍ”

El sistema del ejemplo debería ser capaz de detectar incidencias que lleven a la conclusión de que los datos introducidos no son correctos para, en tal caso, evitar la utilización de cookies hasta obtener el consentimiento del titular de la patria potestad o tutela. Podrían considerarse incidencias de este tipo las fechas que aún no hayan llegado, o que impliquen que el titular de la patria potestad o tutela no es mayor de edad o que tiene una edad tan avanzada que no es razonable que la persona siga con vida o tenga hijos menores de catorce años.

Los editores podrán utilizar cualesquiera fórmulas de verificación que sean razonables para verificar que el titular de la patria potestad o tutela es quien presta el consentimiento y no el menor de catorce años (por ejemplo, preguntas o captchas).

Si el consentimiento para el uso de cookies se obtuviese durante el proceso de alta en un servicio, o en el contexto de otro proceso en el que se soliciten datos personales a los menores, como pueden ser el nombre y apellidos, una dirección de correo electrónico u otros datos de contacto, en estos casos podrá solicitarse a efectos de verificación información adicional sobre los padres o tutores (por ejemplo, nombre y apellidos, una dirección de correo electrónico con la finalidad anteriormente descrita, o una copia del documento nacional de identidad o documento equivalente) o pedir a estos que suscriban una declaración de consentimiento.

  1. ¿Cómo se obtiene el consentimiento para el uso de cookies cuando un editor presta servicios a través de diferentes páginas?

Se puede hacer a través de una sola página web, cuando ofrezcan contenidos o tengan características similares, con motivo de la prestación de los servicios solicitados por el usuario, siempre que se informe, incluyendo toda la información de cookies, sobre cuáles son las páginas web o dominios de su titularidad desde los que se van a enviar las cookies, el tipo de cookies y las finalidades para la que se tratan y se recaba el consentimiento del usuario.

En el caso de que las páginas a través de las que presta servicios un editor ofrezcan contenidos o tengan características que no sean similares (por ejemplo: algunas de las páginas contengan contenidos para adultos), será necesario adoptar cautelas adicionales.

  1. ¿Cuándo se debe cambiar la información sobre cookies?

Cuando después de haber recabado el consentimiento, cambien los fines sobre su uso o los terceros que hacen uso de las mismas, será necesario actualizar la política de cookies y permitir a los usuarios tomar una nueva decisión sobre las mismas y consentir o no la instalación de las que precisen su autorización.

Siempre que un consentimiento haya sido obtenido de forma válida, no será necesario obtenerlo cada vez que un usuario visite de nuevo la misma página web desde la que se presta el servicio.

  1. ¿Se puede denegar al usuario el acceso a un servicio en caso de que rechace la instalación de cookies que precisen su consentimiento?

Siguiendo las directrices del CEPD sobre el consentimiento, para que este se dé libremente, el acceso a los servicios y funcionalidades no debe supeditarse a la aceptación por el usuario del uso de cookies. Por ello, no podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento. Este criterio resulta especialmente importante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario, por ser, por ejemplo, el acceso a un sitio web el único medio facilitado al usuario para ejercitar tal derecho.

Pueden existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies. Conforme establecen las Directrices 05/2020 sobre el consentimiento del CEPD, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.

Para que se considere válido este consentimiento obtenido a través de estos sistemas “pay or ok”, es decir, o se consiente la instalación de cookies publicitarias o se paga una determinada cantidad para que esas cookies no se instalen, como para cualquier otro tratamiento basado en el consentimiento, debe ser:

1. Previo al inicio del tratamiento, y no lo será si por ejemplo se descargan cookies u otros dispositivos de almacenamiento antes de prestar el consentimiento

2. Libre, y no lo será si de alguna manera se fuerza a que el usuario se vea obligado a consentir en lugar de la opción de pago, por ejemplo, por ser esta desproporcionada.

3. Informado, informando adecuadamente al respecto al usuario para cada una de las finalidades.

4. Granular, es decir, obtenido para cada una de las finalidades.

5. Revocable, es decir, tan fácil de retirar como de prestar.

  1. ¿Quién es el responsable de facilitar información sobre las cookies, y cuando sea necesario, obtener el consentimiento para su uso?

1. Cuando se trate de cookies necesarias: tanto si son propias como de terceros, no será necesario que el editor informe de su utilización. Sin embargo, por razones de transparencia, se recomienda hacerlo, al menos con carácter genérico, ya sea en la política de cookies o en la propia política de privacidad. (Por ejemplo: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”).

No obstante, en el caso que el editor emplee cookies de terceros para la prestación del servicio solicitado por el usuario, deberá establecer contractualmente con aquellas entidades con las que contrate directamente que esas entidades no tratan los datos con ninguna otra finalidad que no sea la prestar el servicio al usuario, puesto que, en caso contrario, sería necesario informar de esas otras finalidades y obtener el consentimiento.

2. Cuando se trate de cookies no necesarias:

a) Si son propias: es el editor el responsable de informar sobre las finalidades para las que se tratarán los datos y obtenga el consentimiento del usuario.

b) Si son de terceros: tanto el editor como los terceros tendrán esa responsabilidad.

Cuando el editor emplee una CMP que cree un entorno en el que los terceros que participan en el mismo puedan cumplir los deberes de información y obtención del consentimiento, los terceros serán individual y directamente responsables de su cumplimiento.

Los editores deberán asegurar que los interesados reciben la información necesaria y que están habilitados los mecanismos que permitan su consentimiento, por ejemplo, a través de obligaciones o garantías contractuales que obliguen al tercero titular de las cookies o a través de la instalación de plataformas para la gestión del consentimiento.

Así, cuando la información sobre las cookies de terceros se ofrezca a través de un enlace a la página web del tercero, el editor tendrá que asegurarse que los enlaces no estén rotos, siendo obligación del tercero velar por que la información no sea obsoleta y que esta se ofrezca también en castellano o en la lengua cooficial utilizada en el sitio web del editor.

En los contratos que se celebren entre los editores y los terceros se deberían incluir una o varias cláusulas en las que se asegure que se ofrecerá a los usuarios la información requerida y que se articulará la forma a través de la cual se pueda obtener un consentimiento válido para la utilización de las cookies y para su revocación, así como las consecuencias de la revocación del consentimiento para el editor y, especialmente, para los terceros que lo obtuvieron a través del editor.

Cuando no se usa una CMP, es más difícil para las entidades que utilizan cookies de terceros cumplir los anteriores requisitos, y los usuarios tenderán a hacer llegar sus inquietudes a la entidad a la que pueden identificar y con la que tienen relación, es decir, al editor.

3. Según la responsabilidad en el tratamiento de datos personales

Los titulares de las cookies, en la medida en que determinen los fines y los medios del tratamiento, son responsables del tratamiento. Así, anunciantes, editores, agencias, redes publicitarias y otros agentes intervinientes serán responsables del tratamiento cuando utilicen cookies propias y cuando, utilizando cookies de terceros, participen en la determinación de los fines y medios del tratamiento, aunque este se realice a través de un encargado del tratamiento.

Aquellos agentes que limiten su actuación a seguir las instrucciones del responsable del tratamiento tendrán la consideración de encargados del tratamiento.

En principio, cada responsable del tratamiento responderá del tratamiento concreto que realice.

Cuando las entidades referidas (anunciantes, agencias, redes publicitarias, editores y otros agentes) determinen conjuntamente las finalidades y los medios del tratamiento, serán consideradas corresponsables del tratamiento, la existencia de corresponsabilidad no se traducirá necesariamente en una responsabilidad equivalente de las distintas entidades en los que atañe un tratamiento de datos personales, sino que la responsabilidad de cada entidad dependerá de la implicación que tenga en el tratamiento concreto. Por lo tanto, el nivel de responsabilidad de cada una de ellas deberá evaluarse caso por caso y teniendo en cuenta todas las circunstancias pertinentes en función de sus responsabilidades respectivas asumidas en la determinación de medios y fines del tratamiento.

En este sentido, el alcance de las obligaciones de información y obtención del consentimiento por parte del editor respecto de las cookies de terceros se circunscribe a los tratamientos de los que es responsable, incluida en su caso la responsabilidad conjunta en cuanto a que el usuario conozca y consienta la utilización por terceros identificados de sus cookies y las finalidades del tratamiento de datos asociado a ellas.

Dichas obligaciones no se extienden, en cambio, a las fases ulteriores del tratamiento en las que el editor no interviene, que serán responsabilidad exclusiva del tercero.

Por ejemplo, la responsabilidad no se extendería a los tratamientos de datos realizados ulteriormente por terceros con la finalidad de que éstos puedan ofrecer servicios de creación de audiencias, perfiles o similares (elaborados a partir del tratamiento de datos obtenidos mediante cookies), ni podrá presumirse la responsabilidad en la elaboración de tales audiencias o perfiles por el hecho de que se utilicen.

En cualquier caso, la responsabilidad administrativa exigible ante las autoridades de control por el cumplimiento de las obligaciones derivadas del uso de cookies corresponde a cada parte obligada y no es desplazable contractualmente.

FICHA TÉCNICA

  • Autor: Manuel Castilleja Toscano
  • Título: FAQS COOKIES. Guía de cookies en formato pregunta-respuesta
  • Editor: Privacy Driver®
  • Edición: abril 2024
  • Páginas: 24
  • Propiedad intelectual: reservados todos los derechos. Ni la totalidad ni parte de este documento puede reproducirse o transmitirse por ningún procedimiento electrónico o mecánico, incluyendo fotocopia, grabación magnética o cualquier almacenamiento de información y sistema de recuperación, sin permiso explícito de Privacy Driver®.
  • Se puede descargar el documento en formato pdf aquí.