ÍNDICE DE CONTENIDOS
- Contenido de la Guía sobre el uso de Cookies
- Consentimiento en materia de Cookies
- Transparencia, punto 3.1 de la guía
- Obligaciones y responsabilidades
- Consecuencias de no cumplir con lo indicado en la guía
La Guía sobre el uso de las cookies es un documento elaborado por la Agencia Española de Protección de Datos (AEPD) que tiene como objetivo ofrecer orientaciones sobre cómo cumplir las obligaciones previstas en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), en relación con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPDGDD).
Contenido de la Guía sobre el uso de Cookies
En primer lugar, es importante destacar que la regulación establecida en la LSSI es una norma especial en relación con la protección de datos y la privacidad en Internet. Por lo tanto, las soluciones propuestas en la guía deben entenderse en este contexto y no como una solución general y uniforme para el cumplimiento de la ley.
La guía se centra en el uso de las cookies, que son pequeños archivos de texto que se almacenan en el equipo terminal del usuario y que contienen información sobre su actividad en la página web. Las cookies son ampliamente utilizadas en la industria de la publicidad en línea para personalizar la publicidad y mejorar la experiencia del usuario en la página web.
En el punto 2.1 del documento de la Guía sobre el uso de las cookies desarrolla los diferentes tipos de cookies y tecnologías similares que se utilizan en la industria de la publicidad en línea.
- Tipos de cookies según la entidad que las gestione: ,se distinguen entre cookies propias, que son aquellas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario, y cookies de terceros, que son aquellas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos a través de las cookies.
- Tipos de cookies según su finalidad: Este subpunto se refiere a los diferentes tipos de cookies según su finalidad. En concreto, se distinguen entre cookies técnicas, que son aquellas que permiten al usuario la navegación a través de una página web y la utilización de las diferentes opciones o servicios que se ofrecen en ella, y cookies de personalización, que son aquellas que permiten al usuario acceder al servicio con algunas características predefinidas en función de una serie de criterios, como el idioma, el tipo de navegador utilizado para acceder al servicio, la configuración regional desde donde se accede al servicio, etc.
- Tipos de cookies según el plazo de tiempo que permanecen activadas: Se diferencian entre cookies de sesión, que son aquellas diseñadas para recabar y almacenar datos mientras el usuario accede a una página web y que desaparecen al terminar la sesión, y cookies persistentes, que son aquellas que permanecen almacenadas en el equipo terminal del usuario durante un periodo de tiempo determinado y que pueden ser accedidas y tratadas por el responsable de la cookie durante ese periodo.
Dado que el uso de las cookies plantea múltiples complejidades, las orientaciones aquí recogidas no pretenden ofrecer una solución general y uniforme para el cumplimiento de la ley, sino que deben servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio.
Consentimiento en materia de Cookies
La guía establece que el uso de las cookies debe estar sujeto al consentimiento informado del usuario. Esto significa que el usuario debe ser informado de manera clara y concisa sobre el uso de las cookies y dar su consentimiento explícito para su uso. Además, el consentimiento debe ser libre, específico e informado, lo que significa que el usuario debe tener la posibilidad de aceptar o rechazar las cookies de manera individual y que la información proporcionada debe ser fácilmente comprensible.
La guía establece que la información proporcionada al usuario debe ser accesible en todo momento y que el usuario debe tener la posibilidad de retirar su consentimiento en cualquier momento. Esto significa que las entidades afectadas deben proporcionar una opción clara y fácil de usar para que el usuario pueda retirar su consentimiento en cualquier momento.
Se establece que la información proporcionada al usuario debe ser clara y sencilla, evitando el uso de frases que puedan inducir a confusión o desvirtuar la claridad del mensaje. Por ejemplo, no serían válidas frases como «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted» o «para mejorar su navegación», ya que no explican claramente el propósito de las cookies.
Transparencia, punto 3.1 de la guía
El punto 3.1 de la Guía sobre el uso de las cookies se refiere a la transparencia en la recopilación y tratamiento de datos personales a través de cookies y tecnologías similares. En concreto, este punto establece las obligaciones que tienen las entidades afectadas en relación con la información que deben proporcionar a los usuarios sobre el uso de las cookies y cómo debe mostrarse esta información.
Para cumplir con estas obligaciones, se establecen una serie de requisitos de transparencia que deben cumplirse para que la información sea clara y comprensible para el usuario. Entre estos requisitos, se encuentra la obligación de proporcionar información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos, incluyendo la finalidad del tratamiento de los datos y la identidad del responsable de las cookies.
Además, se recomienda utilizar la información por capas para mostrar la información sobre el uso de las cookies, de modo que se permita al usuario ir a aquellos aspectos de la declaración o aviso que sean de mayor interés para él, evitando así la fatiga informativa.
Obligaciones y responsabilidades
En este documento, se explica la responsabilidad de las partes en la utilización de cookies y tecnologías similares. En concreto, este punto establece las obligaciones y responsabilidades que tienen las distintas entidades implicadas en el tratamiento de datos personales a través de cookies.
- En primer lugar, es importante destacar que la responsabilidad en el tratamiento de datos personales no recae únicamente en el editor de la página web, sino que puede ser compartida con otras entidades que intervengan en el tratamiento de los datos. Por tanto, la responsabilidad de cada entidad dependerá de la implicación que tenga en el tratamiento concreto, y deberá evaluarse caso por caso y teniendo en cuenta todas las circunstancias pertinentes en función de sus responsabilidades respectivas asumidas en la determinación de medios y fines del tratamiento. En este sentido, el alcance de las obligaciones de información y obtención del consentimiento por parte del editor respecto de las cookies de terceros se circunscribe a los tratamientos de los que es responsable, incluida en su caso la responsabilidad conjunta en cuanto a que el usuario conozca y consienta la utilización por terceros identificados de sus cookies y las finalidades del tratamiento de datos asociado a ellas.
Por tanto, en el caso de que el editor de la página web utilice cookies de terceros, deberá informar al usuario de forma clara y completa sobre el uso de estas cookies, incluyendo la finalidad del tratamiento de los datos y la identidad del responsable de las cookies. Además, deberá obtener el consentimiento del usuario para el uso de estas cookies, salvo que se trate de cookies exceptuadas de las obligaciones de información y obtención del consentimiento.
En el caso de que el editor de la página web no sea el responsable del tratamiento de los datos personales a través de las cookies, sino que actúe como encargado del tratamiento, deberá cumplir con las obligaciones establecidas en la normativa de protección de datos, en particular, deberá formalizar un contrato de encargo del tratamiento con el responsable del tratamiento que contemple las garantías necesarias para proteger los derechos de los usuarios.
- Por otro lado, en el caso de que el editor de la página web utilice cookies propias, es decir, aquellas que son gestionadas directamente por el editor de la página web, deberá informar al usuario de forma clara y completa sobre el uso de estas cookies, incluyendo la finalidad del tratamiento de los datos y la identidad del responsable de las cookies. Además, deberá obtener el consentimiento del usuario para el uso de estas cookies, salvo que se trate de cookies exceptuadas de las obligaciones de información y obtención del consentimiento. En cualquier caso, es importante destacar que la responsabilidad en el tratamiento de datos personales a través de cookies no se limita únicamente a la obligación de informar y obtener el consentimiento del usuario, sino que también incluye la obligación de garantizar la seguridad y confidencialidad de los datos personales tratados, así como la obligación de permitir el ejercicio de los derechos de los usuarios en relación con sus datos personales.
Las entidades implicadas en el tratamiento de datos personales a través de cookies deberán adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales tratados, así como para permitir el ejercicio de los derechos de los usuarios en relación con sus datos personales.
En este sentido, es recomendable que las entidades implicadas en el tratamiento de datos personales a través de cookies establezcan políticas y procedimientos internos para garantizar el cumplimiento de las obligaciones establecidas en la normativa de protección de datos, así como para garantizar la seguridad y confidencialidad de los datos personales tratados.
Consecuencias de no cumplir con lo indicado en la guía
Si una entidad no cumple con las obligaciones establecidas en la normativa de protección de datos en relación con el uso de cookies, puede enfrentarse a sanciones administrativas y/o judiciales.
En concreto, la Agencia Española de Protección de Datos (AEPD) es la autoridad de control encargada de velar por el cumplimiento de la normativa de protección de datos en España. En caso de que la AEPD detecte que una entidad no cumple con las obligaciones establecidas en la normativa de protección de datos en relación con el uso de cookies, puede iniciar un procedimiento sancionador contra dicha entidad.
Las sanciones administrativas que puede imponer la AEPD por el incumplimiento de la normativa de protección de datos pueden ser de distinta naturaleza y gravedad, y pueden incluir multas económicas, la obligación de adoptar medidas correctivas, la publicación de la sanción impuesta, entre otras.
Además, en caso de que el incumplimiento de la normativa de protección de datos cause daños y perjuicios a los usuarios, estos pueden ejercer acciones judiciales para reclamar la reparación de los daños y perjuicios sufridos