Hace un par de meses la Agencia Española de Protección de Datos publicó una actualización de su guía de cookies que implica cambios para los sitios webs de las organizaciones y que tendrán que adaptar antes del 31 de octubre.
Las principales modificaciones tienen que ver con la forma de recabar el consentimiento. A partir del 1 de noviembre debe recabarse mediante una acción afirmativa por parte del usuario. No serán ya válidas afirmaciones del tipo “si sigues navegando, entendemos que aceptas las cookies”.
Lo cierto es que la mayoría de los sitios webs todavía no cumplen algo que ya era necesario antes de la actualización de esta guía. Y es que instalan las cookies que requieren consentimiento antes de que el usuario interaccione con el sitio o marque la aceptación del aviso de cookies. Es decir, cuando el usuario resuelve la dirección del sitio, y sin que haya interactuado con la web ni aceptado el banner, ya se le han instalado las cookies que requieren consentimiento.
A día de hoy, veo que siguen existiendo muchas dudas sobre las cookies. Qué son. Qué tipos de cookies existen. Y es necesario saber eso para poder identificar las que requieren consentimiento y las que no.
Las dos tablas que vienen a continuación es información extraída literalmente de la guía de la Agencia de Protección de Datos que menciono al inicio. He pasteado la información para resumirla por si así se hace menos bola.
La primera tabla resume el tipo de cookies que existen.
La segunda tabla cómo debe facilitarse la información para usar cookies.
Lo que he marcado en colorinchis es porque me parece francamente relevante.
TIPOS DE COOKIES
Información que debe facilitarse
Estos son los tres tipos de ejemplo que propone la Agencia de Protección de Datos para solicitar el consentimiento en la primera capa:
Teniendo en cuenta que al pinchar en la opción de configurar, tiene que llevar a un panel de configuración para que el usuario pueda aceptar o no las cookies de forma individual.
Y dos bolas extra:
(1) Cuando se utilicen cookies polivalentes, es decir, aquellas que tienen dos o más finalidades diferentes y no exceptuadas del ámbito de aplicación del artículo 22.2 de la LSSI, deberá garantizarse que estas cookies únicamente se utilizan si se aceptan todas las finalidades que agrupan.
(2) Cuando hablamos de todas estas obligaciones para las cookies no sólo nos referimos estrictamente a las cookies, también a otras tecnologías de rastreo como shared objects, web beacons o bugs.
Elena Pérez Gómez
Abogada
Especializada en Derecho Tecnológico