El Reglamento general de protección de datos (RGPD) de la UE amplía las medidas de la LSSI y obliga a obtener el consentimiento del usuario antes de instalar cookies en su dispositivo.
¿Qué son las cookies?
Las cookies son ficheros o partes de información que son enviadas desde un espacio web por medio de un servidor y son guardadas en el navegador del usuario. Con ello lo que se lleva a cabo es un almacenamiento de las preferencias y costumbres del usuario para así poder realizar determinados actos de marketing o personalizar contenidos.
También se deben de conocer los determinados tipos de cookies con las que se pueden encontrar. Estas ni son iguales, ni están reguladas de la misma manera, ni se utilizan las mismas:
Cookies técnicas, que son necesarias para navegar en determinadas páginas web.
Cookies de personalización, que permiten personalizar contenidos por medio de la obtención de datos del navegador.
Cookies de análisis, para llevar a cabo datos estadísticos.
Cookies publicitarias y de publicidad comportamental, con el fin de mejorar la eficiencia de los espacios publicitarios.
Cookies de afiliados, que enlazan webs de asociados.
Asesoría profesional para pymes y autónomos
¿Cómo cumplir con la ley?
Lo primero es saber que todos estamos obligados a cumplir con el RGPD: autónomos, empresas y particulares.
El Consentimiento
La principal obligación o, al menos, la que más quebraderos de cabeza ha generado, es la obligación de obtener el consentimiento previo a la instalación de cookies en el dispositivo del usuario.
Este consentimiento es obligatorio para cualquier tipo de cookie que no sea técnica, es decir, solo se pueden instalar sin consentimiento las cookies técnicas necesarias para el funcionamiento del sitio web.
El resto de cookies (analíticas, de comercio electrónico,publicidad, de elaboración de perfiles, etc.), ya sean propias o de terceros (analytics, facebook, etc.) requieren el consentimiento previo del usuario. Este consentimiento debe de ser:
Informado: Se debe informar de forma clara al usuario para qué se le solicita el consentimiento.
Capacidad de elección: Se debe posibilitar la capacidad del usuario para aceptar o rechazar los diversos tipos de cookies.
Derecho al acceso sin cookies: El usuario debe tener acceso a la web aunque haya rechazado el consentimiento a las cookies (excepto las cookies estrictamente necesarias).
Consentimiento a través de una acción afirmativa y positiva que no se pueda malinterpretar.
Consentimiento previo: otorgado antes del tratamiento de cualquier tipo de datos personales.
Mudable: Se debe facilitar al usuario retirar o modificar el consentimiento cuando asó lo desee.
La información
Es necesario informar al usuario de qué cookies se utilizan, para qué sirven, qué datos recogen y que se hará con dicha información. Respecto a la obligación de informar, la ley establece que se debe hacer de forma completa, pero en un lenguaje sencillo y comprensible. Esta información además debe ser fácilmente accesible desde cualquier lugar de la página web.
Como suele ser mucha la información que se debe ofrecer al usuario, el reglamento establece la posibilidad de ofrecer la información por capas, es decir, es posible ofrecer una pequeña parte de la información al principio (el típico banner que ya aparece en la mayoría de páginas web cuando se accede a ellas), y el resto de información en una página a la que se accede mediante un enlace o un botón para obtener más información.
En la primera capa, la de la información básica, debe aparecer como mínimo la siguiente información:
Advertencia sobre el uso de cookies en la web (si solo se instalasen las cookies técnicas requeridas, no es necesario).
Identificación de la finalidad de las cookies que se instalan.
Información sobre si las cookies son propias o también de terceras partes.
En caso de que así sea, advertencia de que si se realiza una determinada acción (por ejemplo, seguir navegando) se entenderá que el usuario da su consentimiento al uso de las cookies.
Un enlace a la seguda capa de información, donde se facilite información más detallada.
Un ejemplo de aviso en primera capa puede ser:
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.
En la segunda capa de información se deben aportar los siguientes datos:
Definición y función de las cookies
Exposición de los diferentes tipos de cookies que utiliza la página web (publicitarias, analíticas, de redes sociales, etc.).
Información sobre la forma de desactivarlas, eliminarlas y de cambiar el consentimiento.
Información sobre la identificación de quién utiliza las cookies y el tiempo que permanecerán activas.
El falso cumplimiento
La forma lógica de redactar este artículo hubiera sido presentando primero la obligación de exponer la información y después la necesidad de recabar el consentimiento, pero hemos decidido hacerlo al revés para remarcar la importancia que tiene la obtención del consentimiento antes de que las cookies se instalen en el dispositivo del usuario. Y es que son todavía mayoría las páginas web que no cumplen correctamente esta obligación.
Decimos que es un falso cumplimiento cuando la página web muestra el correspondiente aviso pero no retiene la instalación de las cookies en el dispositivo. Una manera muy fácil de comprobar si esto sucede, es acceder a una página web a través de la navegación privada de Chrome, y pulsar, una vez en la web, el botón F12. Al hacerlo se abrirá una consola de análisis. En la parte superior podemos acceder a la pestaña "Aplicattion" y una vez ahí, en la parte izquierda, pulsando sobre la opción "cookies", la consola mostrará las cookies que se han instalado al acceder en la web. Si hay alguna cookie que no sea estrictamente necesaria para el funcionamiento de la web, se estará incumpliendo la ley.