El pasado viernes 8 de noviembre tuvo lugar la presentación de la nueva Guía sobre el Uso de las Cookies (en adelante, la Guía), que la Agencia Española de Protección de Datos ha elaborado en colaboración con Adigital, Anunciantes, IAB Spain y Autocontrol.

El principal objetivo de la Guía es la revisión y actualización de la versión elaborada en el año 2012, para adecuarla al marco vigente en materia de protección de datos (principalmente, Reglamento 2016/679, General de Protección de Datos –RGPD– y Ley Orgánica 3/2018, de Protección de Datos Personales y Garantías de los Derechos Digitales –LOPDP–).

La Guía recoge las orientaciones, garantías y obligaciones que deben ser observadas y cumplidas respecto del uso de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, lo que incluye, entre otras, tecnologías tales como las cookies, flash cookies, web beacons o bugs (en adelante, conjuntamente, Cookies). Dichas obligaciones también resultan de aplicación al empleo de técnicas que permitan realizar una huella digital de los dispositivos (fingerprinting).

La Guía analiza la necesidad de cumplir con dos obligaciones básicas: información previa sobre quién, cómo y para qué se utilizan las Cookies; y obtención del consentimiento de los usuarios, teniendo en cuenta que la normativa vigente establece unos requisitos más estrictos.

A continuación se indican los principales aspectos a tener en consideración de cara al cumplimiento de las referidas obligaciones.

Información previa

  • Se debe facilitar la información de manera concisa, transparente e inteligible, utilizando un lenguaje claro y sencillo.
  • Se debe evitar el uso de frases y contenidos ambiguos y/o que induzcan a confusión o desvirtúen la claridad del mensaje (p.e. deben evitarse frases como“usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias que almacenan información sobre el comportamiento de los usuarios mediante el análisis de los hábitos de navegación.
  • Sigue siendo válida la opción de ofrecer la información mediante dos capas informativas (información esencial en la primera capa; información complementaria en la segunda capa).
  • La información de la primera capa se debe completar con un sistema o panel de configuración en el que el usuario pueda optar entre aceptar o no las cookies de manera granular, o un enlace que conduzca a dicho sistema o panel.
  • La información debe ser de fácil acceso (p.e. proporcionando un enlace claramente visible que dirija directamente a la información bajo un término de uso común como “política de cookies” o “cookies”).
  • La información se debe facilitar antes del uso o instalación de las cookies, mediante un formato visible, y deberá mantenerse hasta que el usuario realice la acción requerida para otorgar el consentimiento o rechazar la instalación.
  • La información que se otorgue al usuario, para que pueda consentir el uso de las cookies, debe encontrarse separada de la información que se le ofrezca para otros asuntos; e, igualmente, la aceptación de los términos o condiciones de uso de la página web o servicio debe estar separada de la aceptación de la Política de Cookies.

Consentimiento

  • La utilización de cookies no excepcionadas (aquellas cuya finalidad sea estrictamente la prestación de un servicio expresamente solicitado por el usuario) requiere, en todo caso, la obtención del consentimiento del usuario.
  • Bajo la premisa de haberse facilitado previamente la información sobre el uso de las cookies, es válida la opción de recabar el consentimiento mediante un “clic” o una conducta similar (p.e. mediante un botón que indique “aceptar cookies” o “instalar cookies”).
  • También podrá inferirse el consentimiento de una acción inequívoca del usuario (p.e. navegar a una sección distinta de la página web, deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio), siempre que el usuario haya sido informado de que dicha acción comporta la aceptación de las cookies.
  • La mera inactividad del usuario no puede entenderse, por sí misma, como una prestación del consentimiento. Igualmente, la consulta de la segunda capa informativa o la navegación necesaria para la gestión de preferencias en relación con las cookies, no puede interpretarse como conducta activa de la que derivar una aceptación de cookies.
  • En todo caso, el usuario deberá poder negarse a aceptar las cookies. Y revocar el consentimiento previamente otorgado en cualquier momento, haciendo uso de un mecanismo igual de sencillo que el utilizado para prestarlo.
  • En caso de producirse un cambio en el uso de las cookies después de haberse obtenido el consentimiento, será necesario actualizar la información y permitir a los usuarios tomar una nueva decisión. Igualmente, se recomienda renovar el consentimiento de los usuarios cada 24 meses como plazo máximo de referencia.
Por lo tanto, a la vista de la nueva Guía, se hace necesario revisar si se cumplen, adecuadamente, las obligaciones previstas para la misma y, en su caso, adoptar las medidas e incorporar los cambios necesarios para garantizar dicho cumplimiento.
Desde el área de Tecnologías, Medios y Telecomunicaciones quedamos a vuestra disposición para aclarar o ampliar cualquier cuestión particular que pudierais tener en este sentido.