Mayores exigencias sobre cookies desde el 31 octubre 2020 y necesidad de una herramienta de gestión

Protección de datos y cookies

Los usuarios de internet saben que, al informarse, comunicarse, comprar o simplemente navegar por la red, están facilitando información a los prestadores de servicios en internet. Esta información se almacena por medio de cookies. La información sobre estas debe ser sencilla y de fácil acceso y estar dispuesta en un único lugar. En este sentido, resulta esencial la política de cookies en la que se recomienda una información en capas. Empezando por la identificación del responsable del sitio web, las finalidades de las cookies, y la especificación de si son propias o de terceros.

Concepto de cookies y la protección de datos

Se entiende por cookies, pequeños archivos que se almacenan en el directorio del navegador, una vez se ha prestado el consentimiento cuando sea necesario. Pueden tratar o no datos personales. Por ello, cuando el uso de de las cookies suponga también el tratamiento de datos personales, deberá cumplirse asimismo la normativa sobre protección de datos personales.

Se considerará que existe tratamiento de datos personales siempre que pueda identificarse al usuario por un nombre o dirección de email o por medio de identificadores únicos que permitan su seguimiento, como en el caso de la publicidad. No obstante, existen una serie de cookies excluidas del ámbito de aplicación del artículo 22.2 de la LSSI.

En estos casos, no es preciso ni proporcionar información sobre las cookies, ni obtener el consentimiento del usuario para que puedan utilizarse. Esto ocurre con las cookies de:

  • Entrada.
  • Seguridad, de sesión (ya sean de identificación o autenticación, de reproductor multimedia o para para equilibrar la carga).
  • Personalización de la interfaz de usuario. 

Además, se excluyen algunas cookies complementarias o plug-in para intercambiar contenidos sociales, siempre que los usuarios mantengan la sesión abierta.

En cuanto a los tipos de cookies, pueden ser:

  • Propias o de terceros, según la entidad que las gestione.
  • Técnicas, de personalización, analíticas o de marketing, según su finalidad.
  • De sesión o persistentes (considerándose una buena práctica que no excedan de 24 meses) en función del tiempo en que permanezcan activadas.

Nueva normativa sobre las cookies

Como consecuencia de la necesidad de atender a las nuevas directrices del Comité Europeo de Protección de Datos sobre consentimiento (5/2020), las empresas deben modificar sus políticas de cookies e introducir una herramienta de gestión de cookies. Como novedades:

  • Se prohibe el uso de los muros de cookies que impidan el acceso al sitio web, sin que se ofrezca al usuario una alternativa de acceso al servicio que no implique el uso de cookies. Además, el servicio ofrecido sin cookies ha de ser equivalente y prestado por el mismo editor.
  • Se elimina la posibilidad de recabar el consentimiento de forma tácita con la mera continuación en la navegación. 

Todo ello, además de la aclaración de métodos para informar sobre la revocación del consentimiento a los usuarios. A estos efectos, la AEPD actualizó en julio 2020 la Guía sobre el uso de las cookies.

La importancia del consentimiento

Las obligaciones legales se centran en la transparencia y la obtención del consentimiento. Por ello, el art. 22 de la LSSI establece la necesidad de facilitar información sobre la utilización de los dispositivos de almacenamiento y recuperación de datos, así como sobre los fines del tratamiento a los usuarios al objeto de que estos puedan pronunciarse sobre su consentimiento.

El consentimiento ha de ser previo a la instalación y uso de las cookies. La información se lleva a cabo por un aviso o barra que puede estar localizada arriba, abajo o en cualquier otra parte de la pantalla siempre que sea claramente visible. En la misma se solicita el consentimiento sobre las cookies o sobre distintos tipos de éstas.

En cumplimiento de lo anterior, la Agencia Española de Protección de Datos exige en primer lugar una auditoría de cookies al objeto de determinar todas las que existen en la web y los tipos a los que pertenecen.

Únicamente se excluyen de los deberes de información y prestación previa del consentimiento, las cookies técnicas necesarias para el funcionamiento de la página. Por el contrario, las analíticas, publicitarias o de de seguimiento (de sesión o permanentes) lo requieren, con independencia de que sean propias o de terceros.

El consentimiento a las cookies ha de seguir el formato de información por capas o basarse en la configuración del navegador. El consentimiento debe requerirse durante el proceso de configuración de la página web o aplicación de que se trate, a través de plataformas de gestión del consentimiento o al tiempo de solicitarse el alta en un servicio. También en el caso de que vaya a descargarse un servicio o aplicación de la web.

Sanciones por incumplimiento

Las infracciones sobre esta materia se tipifican tanto en la LOPD, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, como en la LSSI, Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

La LOPD de 2018 se promulga tras el RGPD (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. Por el que se deroga la Directiva 95/46/CE) surgido con el objetivo de dar un enfoque global de la protección de los datos personales en la Unión Europea.

En el primer caso (LOPD), los incumplimientos se derivan del tratamiento incorrecto de los datos de carácter personal. Y, en el segundo (LSSI), de la deficiente implementación de las medidas para cumplir con el uso de cookies en el sitio web. En cualquier caso, la competencia para imponer sanciones corresponde a la AEPD, Agencia Española de Protección de Datos.

Aunque hasta la fecha la AEPD ha impuesto sanciones relacionadas con incumplimientos de cookies de 3.000 a 30.000 euros por expediente sancionador, estas multas puedan ser superiores. A tenor del art. 39 de la LSSI las sanciones van desde 30.000 (en el caso de infracciones leves) a 600.000 € (en el caso de infracciones muy graves). Todo ello sin perjuicio del derecho a la presunción de inocencia.

Etiquetado como:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *