Martes, 10 Diciembre 2019

Guía sobre el uso de las cookies: su correcta implementación

VolverEn nuestro anterior artículo ("¿Se cumple el deber de información y consentimiento en las cookies?") comentábamos dos interesantes resoluciones: una del Tribunal de Justicia de la Unión Europea y otra de la propia AEPD sobre el incorrecto modo de recopilar el consentimiento de la instalación de las cookies y la problemática sobre su consentimiento informado.

La AEPD ha publicado una guía sobre el uso de las cookies para dar solución a estos problemas que se vienen observando y para la correcta aplicación de las obligaciones impuestas por el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (en adelante LSSI): el deber de transparencia y el deber del consentimiento informado, así como las normas sobre Protección de Datos cuando la utilización de una cookie conlleve el tratamiento de datos personales. El objetivo de esta guía es orientar a las entidades que utilizan estos dispositivos de almacenamiento y recuperación de datos.

La guía diferencia los tipos de cookies según la entidad que las gestione: (i) cookies propias: se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor desde el que se presta el servicio solicitado por el usuario; (ii) cookies de tercero: las que son enviadas al terminal del usuario desde el dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos a través de las cookies. Según la finalidad para la que se traten los datos obtenidos pueden ser: cookies técnicas, las que permiten la navegación a través de una página web, plataforma o aplicación; cookies de preferencias o personalización: permiten recordar información para que el usuario acceda al servicio con determinadas características; cookies de análisis o medición: permiten el seguimiento y análisis del comportamiento de los usuarios de los sitios web o cookies de publicidad comportamental: almacenan información del comportamiento de los usuarios para poder crear perfiles de los mismos y mandarles publicidad en función del perfil. De estos dispositivos de almacenamiento y recuperación de datos, estarían excluidos del cumplimiento de las obligaciones establecidas en el artículo 22.2 LSSI las cookies técnicas y las cookies de preferencia al tratarse de un servicio solicitado por el usuario.

Por último, en este apartado de definiciones y tipologías de cookies la Guía diferencia entre las cookies de sesión, que recaban y almacenan datos solamente cuando el usuario accede a una página web; y las cookies persistentes, en las que el almacenamiento de los datos en el terminal pueden permanecer durante unos minutos o, incluso, hasta varios años.

Como hemos referido anteriormente, las obligaciones que impone la Ley son las de transparencia (información) y la de la obtención del consentimiento informado.

En cuanto a la transparencia

El artículo 22.2 LSSI establece que se debe de facilitar al usuario información clara y completa sobre estos dispositivos de almacenamiento y recuperación de datos, y los fines del tratamiento de los datos. La información que deberá facilitarse a todos los usuarios es la siguiente: (1) definición de estos dispositivos de almacenamiento; (2) tipos de cookies que se utilizan en la páginas web y su finalidad; (3) identificar si se trata de cookies propias o de terceros; (4) informar sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies; (5) información sobre la transferencia de datos a terceros países realizadas por el editor, identificando a los terceros países e informar sobre dónde y cómo se puede acceder a la decisión de adecuación o a las garantías adecuadas, especificando el supuesto del RGPD que permite la transferencia de datos; (6) período de conservación de los datos para los diferentes fines, conforme al artículo 13.2 del RGPD.

La información facilitada deberá ser concisa, transparente e inteligible. Empleando para ello un lenguaje claro y sencillo, de forma que esta información pueda ser entendida por un usuario medio, evitando frases que puedan inducir a confusión o alteren la claridad del mensaje.

Además, esta información debe de ser de fácil accesibilidad al usuario de la página web o de la aplicación, por ejemplo, a través de un enlace que dirija a la información, y que esté accesible en todo momento.

Se recomienda que la información se divida en capas: En la primera capa se tiene acceso a información esencial de las cookies que se van a instalar (identificación del editor o responsable del sitio web, identificación de las finalidades de las cookies, si se trata de cookies propias o de terceros, tipo de datos que se van a recopilar y utilizar en caso de elaboración de perfiles, el modo en que pueden aceptarse y configurar las cookies). En la segunda capa, a la que se accede a través de un enlace desde la primera capa se ofrecerá información más detallada sobre las cookies.

Consentimiento

Para el uso de las cookies no exceptuadas será preciso el consentimiento del usuario, persona física o jurídica que utilice el servicio de la sociedad de la información, de acuerdo con la normativa. Este consentimiento solo será válido siempre que haya sido otorgado de forma libre e informada.

La aceptación de las cookies debe de separarse de la aceptación de los términos y condiciones del uso de la página web o aplicación, igual que la información acerca de las cookies se encontrará en un apartado específico para este dispositivo. El consentimiento para el uso e instalación de las cookies podrá obtenerse al solicitar el alta en un servicio, en procesos de configuración de la página web o aplicación, antes de la descarga de un servicio o aplicación ofrecida, o incluso, a través de la configuración del navegador.

Para menores de 14 años, el consentimiento para el tratamiento de datos personales deberá darlo el titular de la patria potestad o tutela del menor. En función de la finalidad de la cookie utilizada, el editor de la página web deberá verificar razonablemente que el titular de la patria potestad o tutor es quien presta el consentimiento.

Finalmente, la AEPD en su guía, recomienda la actualización del consentimiento prestado por cada usuario para el uso de una determinada cookie a los 24 meses. Este consentimiento deberá poder ser retirado por el usuario en cualquier momento de forma fácil.

Por último, la guía hace referencia a la responsabilidad de las partes en la utilización de las cookies. Los anunciantes, editores, agencias, redes publicitarias y otros agentes intervinientes serán responsables del tratamiento cuando utilicen cookies propias, y en aquellas que sean de terceros y hayan participado en la determinación de los fines y medios del tratamiento, serán corresponsables del tratamiento.

No cabe duda que tras la publicación de esta guía que hemos analizado brevemente, surgirán dudas en el momento de adecuar o modificar la política de cookies, no siendo pocas las páginas web y las aplicaciones en las que el funcionamiento de las cookies no es correcto, como así resulta de las resoluciones de la AEPD por su falta de transparencia y consentimiento informado, entre otras faltas. Por ello, desde el Departamento de Derecho Digital de Belzuz Abogados, S.L.P., dada nuestra amplia experiencia en la materia, estamos a disposición de todas aquellas empresas que precisen de nuestro servicio y asesoramiento jurídico en cuanto a la correcta implementación de estos dispositivos de almacenamiento y recuperación de datos en sus páginas web o aplicaciones.

Departamento de Tecnologías de la Información y de la Comunicación (TIC)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa