Hace un par de meses la Agencia Española de Protección de Datos publicó una actualización de su guía de cookies que implica cambios para los sitios webs de las organizaciones y que tendrán que adaptar antes del 31 de octubre.
Las principales modificaciones tienen que ver con la forma de recabar el consentimiento. A partir del 1 de noviembre debe recabarse mediante una acción afirmativa por parte del usuario. No serán ya válidas afirmaciones del tipo “si sigues navegando, entendemos que aceptas las cookies”.
Lo cierto es que la mayoría de los sitios webs todavía no cumplen algo que ya era necesario antes de la actualización de esta guía. Y es que instalan las cookies que requieren consentimiento antes de que el usuario interaccione con el sitio o marque la aceptación del aviso de cookies. Es decir, cuando el usuario resuelve la dirección del sitio, y sin que haya interactuado con la web ni aceptado el banner, ya se le han instalado las cookies que requieren consentimiento.
Es algo que me recuerda bastante a la escena de Spike en el salón de Buffy esperando a que la madre de Buffy le dé palique. Está ahí de buen rollo pero al vampiro ya lo tiene en casa.
Pero ojo, que a Spike le han invitado. El de los vampiros es idéntico al sistema de control de cookies. Les tienes que invitar expresamente a entrar para que se te puedan instalar en el salón. Y, además, Spike no juega sucio, entra sólo con consentimiento expreso.
Lo Ángel, sin embargo, fue consentimiento tácito. Cuando se vuelve malo y entra en el instituto de Buffy aludiendo a que la invitación está en la inscripción de la puerta: “Formatia trans sicere educatorum” (“Que entren todos los que buscan conocimiento”, según la profesora Calendar, porque yo no sé latín). A partir del 1 de noviembre, lo que hace Ángel cuando pierde el alma, ya no vale.
A día de hoy, veo que siguen existiendo muchas dudas sobre las cookies. Qué son. Qué tipos de cookies existen. Y es necesario saber eso para poder identificar las que requieren consentimiento y las que no.
Las dos tablas que vienen a continuación es información extraída literalmente de la guía de la Agencia de Protección de Datos que menciono al inicio. He pasteado la información para resumirla por si así se hace menos bola.
La primera tabla resume el tipo de cookies que existen.
La segunda tabla cómo debe facilitarse la información para usar cookies.
Lo que he marcado en colorinchis es porque me parece francamente relevante.
TIPOS DE COOKIES
|
Tipo de cookie
|
Definición
|
|
Según la entidad que gestione
|
|
Propias
|
Envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario
|
|
De terceros
|
Se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies
|
|
Según la finalidad
|
|
Técnicas
|
Permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, gestionar el pago, controlar el fraude vinculado a la seguridad del servicio, realizar la solicitud de inscripción o participación en un evento,contar visitas a efectos de la facturación de licencias del software con el que funciona el servicio (sitio web, plataforma o aplicación), utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de vídeos o sonido, habilitar contenidos dinámicos (por ejemplo, animación de carga de un texto o imagen) o compartir contenidos a través de redes sociales.
Aquellas cookies que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, como un elemento más de diseño o “maquetación” del servicio ofrecido al usuario sin que se recopile información de los usuarios con fines distintos, como puede ser personalizar ese contenido publicitario u otros contenidos.
|
|
Cookies de preferencias o
personalización
|
Permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio, etc.
Si es el propio usuario quien elige esas características (por ejemplo, si selecciona el idioma de un sitio web clicando en el icono de la bandera del país correspondiente), las cookies estarán exceptuadas de las obligaciones del artículo 22.2 de la LSSI por considerarse un servicio expresamente solicitado por el usuario.
|
|
Cookies de análisis o medición
|
Seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.
No están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística que se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.
|
|
Cookies de publicidad comportamental
|
Almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar
publicidad en función del mismo.
|
|
Por el plazo de tiempo que permanecen activadas
|
|
Cookies de sesión
|
Mientras el usuario accede a una página web. Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (por ejemplo, una lista de productos adquiridos) y desaparecen al terminar la sesión.
Para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello, es mucho más probable que se consideren como exceptuadas las cookies de sesión que las persistentes.
|
|
Cookies persistentes
|
Los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.
|
Información que debe facilitarse
|
Información
|
Aclaración
|
|
En el banner de cookies (Primera capa)
|
|
Identificación del editor responsable del
sitio web.
|
No será necesaria la denominación social, siempre que sus datos identificativos completos figuren en otras secciones del sitio web (aviso legal, política de privacidad, etc.) y su identidad pueda desprenderse de forma evidente del propio sitio web.
|
|
Identificación de las finalidades de las
cookies que se utilizarán
|
Por ejemplo: para fines analíticos y mostrarte publicidad.
|
|
Información sobre si las cookies son
propias (del responsable de la página web)
o también de terceros asociados a él
|
Sin que sea necesario identificar a los terceros en esta primera capa.
|
|
Modo en el que el usuario puede aceptar,
configurar y rechazar la utilización de cookies, con la advertencia, en su caso, de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.
|
Por ejemplo: puedes aceptar las cookies pulsando en… O configurarlas pulsando en el botón configurar.
|
|
Un enlace claramente visible dirigido a una segunda capa informativa en la que se incluya una información más detallada, utilizando, por ejemplo, el término “Cookies”, “Política de cookies” o “Más información, pulsa aquí”.
Este mismo enlace podrá utilizarse para conducir al usuario al panel de configuración de cookies, siempre que el acceso al panel de configuración sea directo, esto es, que el usuario no tenga que navegar dentro de esta segunda capa para localizarlo
|
El enlace a la política de cookies.
|
|
En la política de cookies (segunda capa)
|
|
Información
|
Ejemplo
|
|
Definición y función genérica de las cookies
|
¿Qué son las cookies?
Este sitio web utiliza cookies y/o tecnologías similares que almacenan y recuperan información cuando navegas. En general, estas tecnologías pueden servir para finalidades muy diversas, como, por ejemplo, reconocerte como usuario, obtener información sobre tus hábitos de navegación, o personalizar la forma en que se muestra el contenido.
Los usos concretos que hacemos de estas tecnologías se describen a continuación.
|
|
Información sobre el tipo de cookies que se utilizan y su finalidad.
|
¿Qué tipos de cookies se utilizan en esta página web?
(1) De análisis: son aquellas que, tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.
(2) Publicitarias comportamentales: son aquellas que, tratadas por nosotros o
por terceros, nos permiten analizar sus hábitos de navegación en Internet para que podamos mostrarle publicidad relacionada
con su perfil de navegación.
|
|
Identificación de quién utiliza las
cookies
|
Esto es, si la información obtenida por las cookies es tratada solo por el editor
y/o también por terceros con los que editor haya contratado la prestación de un servicio para el cual se requiera el uso de cookies, con
identificación de estos últimos podrán utilizarse mecanismos como
botones que desplieguen esa información más específica o texto emergente que aparezca al pasar el puntero del ratón por encima, y ello siempre que el usuario pueda acceder fácilmente a la información si así lo desea.
|
|
Información sobre la forma de aceptar,
denegar o revocar el consentimiento para el uso de cookies
|
Enunciadas a través de las funcionalidades facilitadas por el editor
(el sistema de gestión o configuración de cookies que se haya habilitado) o a través de las plataformas comunes que pudieran existir para esta finalidad.
“Tenga en cuenta que, si acepta las cookies de terceros, deberá eliminarlas desde las opciones del navegador o desde el sistema ofrecido por el propio tercero”
|
|
información sobre las
transferencias de datos a terceros países realizadas por el editor
|
Puedes informarte de las transferencias a terceros países que, en su caso, realizan los terceros identificados en esta política de cookies en sus correspondientes políticas (ver los enlaces facilitados en el apartado
“Cookies de terceros”)
|
|
Elaboración de perfiles si implica la toma de decisiones
|
Cuando la elaboración de perfiles implique la toma de decisiones
automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar, será necesario que se informe sobre la lógica utilizada, así como la importancia y las consecuencias previstas
de dicho tratamiento para el usuario en los términos establecidos en el artículo 13.2 f) del RGPD
|
|
Periodo de conservación de los datos
|
Para los diferentes fines en los términos establecidos en el artículo 13.2 a) del RGPD.
|
|
En relación con el resto de información
exigida
|
Por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad
|
Estos son los tres tipos de ejemplo que propone la Agencia de Protección de Datos para solicitar el consentimiento en la primera capa:
Teniendo en cuenta que al pinchar en la opción de configurar, tiene que llevar a un panel de configuración para que el usuario pueda aceptar o no las cookies de forma individual.
Y dos bolas extra:
(1) Cuando se utilicen cookies polivalentes, es decir, aquellas que tienen dos o más finalidades diferentes y no exceptuadas del ámbito de aplicación del artículo 22.2 de la LSSI, deberá garantizarse que estas cookies únicamente se utilizan si se aceptan todas las finalidades que agrupan.
(2) Cuando hablamos de todas estas obligaciones para las cookies no sólo nos referimos estrictamente a las cookies, también a otras tecnologías de rastreo como shared objects, web beacons o bugs.
