Adaptación del uso de cookies a las Directrices 05/2020 sobre consentimiento
¿A qué afecta?
Al uso de cookies excepto aquellas con la finalidad de permitir únicamente la comunicación entre el equipo del usuario y la red y estrictamente prestar un servicio expresamente solicitado por el usuario.
¿A quién afecta?
A las empresas que obtienen datos de cualquier equipo terminal destinatario del servicio a través de dispositivos de almacenamiento y recuperación de datos (cookies y tecnologías similares – local shared objetcs, flash cookies8, web beacons, bugs9, etc – u otros como las técnicas de fingerprinting, en adelante cookies) entendiéndose por destinatario del servicio a la persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información.
¿Cómo afecta?
En el cumplimiento de las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSI), en relación con el RGPD y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPDGDD), con motivo de la revisión del Comité Europeo de Protección de Datos (CEPD) en mayo de 2020 en las Directrices 05/2020 sobre consentimiento.
La Guía sobre el uso de las Cookies publicada por la AEPD sobre la que se ha elaborado esta novedad es una orientación para el cumplimiento de las Directrices 05/2020.
Obligaciones legales de las empresas
Transparencia en el uso de cookies
La información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.
La información ha de dirigirse directamente al usuario para que pueda expresar su consentimiento o su rechazo.
Ha de tenerse en cuenta:
- ¿Qué información debe facilitarse al usuario?
- Definición y función genérica de las cookies
- Información sobre el tipo de cookies que se utilizan y su finalidad
- Identificación de quién utiliza las cookies
- Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies
- Información sobre las transferencias de datos a terceros países realizadas por el editor, en su caso
- Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar, será necesario que se informe sobre la lógica utilizada, así como la importancia y las consecuencias previstas de dicho tratamiento para el usuario en los términos establecidos en el artículo 13.2 f) del RGPD22
- Periodo de conservación de los datos para los diferentes fines en los términos establecidos en el artículo 13.2 a) del RGPD
- En relación con el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad.
- ¿Cómo debe mostrarse esa información?
- Requisitos de la información
- Concisa, transparente e inteligible.
- Lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje.
- Fácil acceso a la información.
- Información por capas. En una primera capa la información esencial y en una segunda una página que ofrezca información más detallada y específica sobre cookies.
- Otras formas de mostrar la información.
- Requisitos de la información
Consentimiento para el uso de cookies no exceptuadas
El consentimiento es la base legal para el cumplimiento de la normativa.
Medios para la obtención del consentimiento
- Mediante fórmulas expresas como haciendo clic en un apartado que indique “consiento”, “acepto” u otros términos generales.
- Mediante una inequívoca acción realizada por el usuario cuando al usuario se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies.
En ningún caso la mera inactividad del usuario implica la prestación del consentimiento por sí misma.
Validez del consentimiento
El consentimiento para que sea válido ha de ser libre e informado. Para ello ha de tenerse en cuenta:
- Las modalidades de prestación pueden ser variadas.
- El usuario ha de haber realizado una clara acción afirmativa.
- Para el usuario ha de ser evidente qué acción concreta suya acepta la utilización de las cookies:
- El uso de un botón del tipo “Aceptar” se considerará información suficiente, sin necesidad de aclarar que pulsando “Aceptar” se aceptan las mismas.
- Acciones complejas o menos obvias deberán explicarse al usuario.
- Seguir navegando no es una forma válida de prestar el consentimiento.
- Cuando la información se presenta por capas, la consulta a la segunda capa informativa o la navegación necesaria para que el usuario gestione sus preferencias en relación con las cookies no es una conducta activa de la que pueda derivarse la aceptación de las mismas.
- El usuario, en todo caso, podrá negarse a aceptarlas.
- La información que se otorgue al usuario para que pueda consentir la utilización de las cookies debe encontrarse separada de la información que se le ofrezca sobre otros asuntos.
- La aceptación de los términos o condiciones de uso de la página web o servicio se separe de la aceptación de la política de privacidad o cookies.
- Cuando sea necesario el consentimiento explícito de los interesados (artículos 9.2 a), 22.2 c) y 49.1 a) del RGPD), el consentimiento solo podrá obtenerse mediante botones de aceptación, siempre que incluya una leyenda específica con el término “consiento” y se facilite información completa sobre las categorías especiales de datos respecto de las que se consienten, las decisiones individuales automatizadas o las transferencias a terceros países, según el caso.
- Para el usuario ha de ser evidente qué acción concreta suya acepta la utilización de las cookies:
Modalidades de obtención del consentimiento
Depende del tipo de cookies que se van a utilizar, de su finalidad y de si son propias o de terceros.
Ha de indicarse cuándo el consentimiento se presta solo para la página web en la que se está solicitando o si se facilita también para otras páginas web del mismo editor o incluso para terceros asociados al editor en el marco de las finalidades de las cookies sobre las que se ha ofrecido información.
Mecanismos de obtención de consentimiento
Son aceptados los siguientes entre otros:
- Al solicitar el alta en un servicio. Cuando el usuario solicita el alta en un servicio, siempre que este consentimiento esté separado y no se agrupe con la aceptación de los términos y condiciones de uso de la página web, de su política de privacidad o de las condiciones generales del servicio.
- Durante el proceso de configuración del funcionamiento de la página web o aplicación.
- A través de plataformas de gestión del consentimiento (consent management platform o CMP). En el Anexo de la guía se relacionan los requisitos y garantías que han de cumplir los CMP.
- Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido, por ejemplo, en la página web cuando las cookies que se pretenden utilizar no son necesarias para el funcionamiento del servicio o de la aplicación.
Cuando una página web ofrezca contenidos audiovisuales, estos son parte del servicio expresamente solicitado por el usuario y están por tanto exceptuado del deber de requerir tal consentimiento para mostrar tal contenido.
Si el usuario desea ejercer un derecho que le está legalmente reconocido y la aplicación o servicio es el único medio facilitado al usuario para ejercitar tal derecho, no podrá condicionarse el acceso a la aplicación o servicio a la aceptación de las cookies no necesarias.
- A través del formato de información por capas. La primera capa, que contiene la información esencial, debe incluir también la petición del consentimiento para la utilización de las En los terminales de pantalla reducida se podrá adecuar el tamaño y el contenido de primera capa a las dimensiones de esta.
- A través de la configuración del navegador si ésta permite a los usuarios manifestar su conformidad con la utilización de las cookies según lo dispuesto en el RGPD y teniendo en cuenta lo dictaminado por el CEPD, en sus directrices sobre el consentimiento, esto es, el consentimiento debería ser separado para cada uno de los fines previstos y la información que se facilita debería identificar a los responsables del tratamiento. A efectos de esta identificación, no será necesaria la denominación social completa, sino que será suficiente incluir la marca o nombre con el que el responsable se identifique de cara al público.
- En el caso de sitios web o servicios en línea específicamente dirigidos a menores (personas menores de 14 años), ha de tenerse en cuenta:
- La sencillez y claridad del lenguaje empleado ha de ser mayor.
- El responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento para el tratamiento de datos personales fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias del tratamiento.
- Considerar el nivel de riesgo asociado a la utilización de las cookies a la hora de establecer las medidas para verificar el consentimiento dado o autorizado por el titular de la patria potestad o tutela.
- Atenerse al principio de minimización de datos.
- A falta de análisis de riesgos, adoptar cautelas adicionales para verificar que el consentimiento fue dado o autorizado cuando el uso de los datos tenga por objeto recordar determinada información del usuario o su terminal para alterar automáticamente determinados aspectos de la navegación y personalizar su experiencia sin que llegue a elaborarse un perfil del menor.
- Detectar incidencias que lleven a la conclusión de que los datos introducidos no son correctos para, en tal caso, evitar la utilización de cookies hasta obtener el consentimiento del Utilizar por parte de los editores, cualesquiera fórmulas de verificación que sean razonables para verificar que el titular de la patria potestad o tutela es quien presta el consentimiento y no el menor de catorce años (por ejemplo, preguntas o captchas).
- Abstenerse de elaborar perfiles sobre los niños con fines de mercadotecnia, dado que los niños representan un grupo más vulnerable de la sociedad. Cuando el consentimiento no se preste por los padres o tutor por tener el usuario más de 14 años, se recomienda a los editores abstenerse de utilizar cookies de publicidad comportamental en las webs dirigidas a menores o cuya audiencia esté compuesta mayoritariamente de menores.
- Solicitar información adicional sobre los padres o tutores (por ejemplo, nombre y apellidos, una dirección de email con la finalidad anteriormente descrita, o una copia del documento nacional de identidad o documento equivalente) o pedir a estos que suscriban una declaración de consentimiento en caso que el consentimiento para el uso de cookies se obtuviese durante el proceso de alta en un servicio, o en el contexto de otro proceso en el que se soliciten datos personales a los menores, como pueden ser el nombre y apellidos, una dirección de email u otros datos de contacto.
Cuando pueden utilizarse y, en su caso, instalarse las cookies
La utilización de la cookie podrá tener lugar cuando el usuario disponga de la información preceptiva sobre las cookies y la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos indicados (artículo 22 LSSI).
La utilización de las cookies debe ir acompañada por un consentimiento informado de los usuarios para tal utilización, de forma que los destinatarios tengan la oportunidad de examinar la información y decidir si aceptan o no la utilización de estos dispositivos.
Obtención del consentimiento para el uso de cookies cuando un editor presta servicios a través de diferentes páginas de diferentes dominios
El editor podrá a través de una sola página web, informar y obtener el consentimiento para la utilización de las cookies que se envíen desde el resto de los dominios que sean de su titularidad y ofrezcan contenidos o tengan características similares, con motivo de la prestación de los servicios solicitados por el usuario, siempre que se informe, además de la obligación de informar:
- cuáles son las páginas web o dominios de su titularidad desde los que se van a enviar las cookies,
- el tipo de cookies, y
- las finalidades para la que se tratan y se recaba el consentimiento del usuario.
Cuando los contenidos o las características no sean similares será necesario adoptar cautelas adicionales.
Cambios en el uso de las cookies
Como regla general, siempre que un consentimiento haya sido obtenido de forma válida, no será necesario obtenerlo cada vez que un usuario visite de nuevo la misma página web desde la que se presta el servicio.
Ha de actualizarse la política de cookies y permitir a los usuarios tomar una nueva decisión cuando los fines de uso de las cookies o los terceros que hacen uso de las cookies cambian después de haber obtenido el consentimiento.
Actualizar el consentimiento
Renovar el consentimiento a intervalos apropiados. El CEPD, en sus directrices sobre el consentimiento, recomienda como mejor práctica:
- La validez del consentimiento para el uso de una determinada cookie no tenga una duración superior a 24 meses.
- Conservar la selección realizada por el usuario sobre sus preferencias durante el tiempo que dure la validez del consentimiento, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.
Retirada del consentimiento para el uso de cookies
Los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento, de forma fácil.
El editor debe:
- Facilitar información a los usuarios en su política de cookies sobre cómo pueden retirar el consentimiento y eliminarlas.
- Ofrecer la retirada del consentimiento ha de ser tan fácil como el utilizado cuando se prestó. Se considerará que esa facilidad existe, por ejemplo, cuando el usuario tenga acceso sencillo y permanente al sistema de gestión o configuración de las mismas.
Posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies
El consentimiento es libre cuando el acceso a los servicios y funcionalidades no se supedita a la aceptación por el usuario del uso de cookies (directriz del CEPD).
Lo anterior implica que no podrán utilizarse los “muros de cookies” que no ofrezcan una alternativa al consentimiento o lo que es lo mismo, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies.
Cuando se informe adecuadamente al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies, podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio.
En el supuesto anterior los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.
Responsabilidad de las partes en la utilización de cookies
Los sujetos que participan en la utilización de las cookies han de colaborar para asegurar el cumplimiento de las exigencias legales establecidas (la LSSI no define quién es el responsable de cumplir con la obligación de facilitar información sobre las cookies y obtener el consentimiento para su uso).
En función de la finalidad para la que se tratan los datos que se obtienen a través de la utilización de las cookies, en la gestión de las cookies y en el tratamiento de los datos obtenidos se distinguen dos situaciones:
- El editor o los terceros utilizan las cookies para finalidades exceptuadas de las obligaciones de informar y de obtener el consentimiento
No es necesario informar de su utilización ni obtener el consentimiento cuando un editor ofrece a los usuarios un servicio y todas las cookies utilizadas desde su página web se utilizan exclusivamente para las finalidades respecto de las que no es necesario obtener el consentimiento, tanto si son propias como de terceros.
En este supuesto debe establecer contractualmente con aquellas entidades con las que contrate directamente que esas entidades no tratan los datos con ninguna otra finalidad que no sea la de prestar el servicio al usuario cuando emplee cookies de terceros para la prestación del servicio solicitado por el usuario. En caso contrario sería necesario informar de esas otras finalidades y obtener el consentimiento.
- El editor o los terceros utilizan las cookies para finalidades no exceptuadas de las obligaciones de informar y obtener el consentimiento
En este supuesto se puede diferenciar si se usan cookies propias o de terceros.
Informar sobre las finalidades para las que se tratarán los datos y obtener el consentimiento del usuario cuando el editor a través de la utilización de cookies propias trata los datos para alguna de las finalidades que no están exceptuadas de la obligación de informar y obtener el consentimiento.
Tanto el editor como las otras entidades intervinientes en la gestión de las cookies han de cumplir lo siguiente cuando se empleen cookies de terceros para alguna o algunas de las finalidades no exentas:
- Garantizar que los usuarios están claramente informados acerca de las mismas.
- Informar acerca de las finalidades de su uso.
- Obtener el preceptivo consentimiento.
Los terceros serán individual y directamente responsables de su cumplimiento cuando el editor emplee una CMP que cree un entorno en el que los terceros que participan en el mismo puedan cumplir los deberes de información y obtención del consentimiento.
Cuando los editores no sean titulares de las cookies que se utilizan, deberán:
- Asegurar que los interesados reciben la información necesaria.
- Asegurar que están habilitados los mecanismos que permitan su consentimiento, por ejemplo, a través de obligaciones o garantías contractuales que obliguen al tercero titular de las cookies o a través de la instalación de plataformas para la gestión del consentimiento:
- Cuando la información sobre las cookies de terceros se ofrezca a través de un enlace a la página web del tercero, el editor tendrá que asegurarse que los enlaces no estén rotos.
- El tercero ha de velar por que la información no sea obsoleta y que esta se ofrezca también en castellano o en la lengua cooficial utilizada en el sitio web del editor.
Contratos entre editores y terceros
En los contratos que se celebren entre los editores y los terceros se debería incluir:
- Una o varias cláusulas en las que se asegure que se ofrecerá a los usuarios la información requerida y que se articulará la forma a través de la cual se pueda obtener un consentimiento válido para la utilización de las cookies y para su revocación.
- Las consecuencias de la revocación del consentimiento para el editor y, especialmente, para los terceros que lo obtuvieron a través del editor.
Responsables de la información personal que recogen las cookies y de los tratamientos de datos posteriores que realizan
Los titulares de las cookies son los responsables en la medida que determinan los fines y los medios de tratamiento. De esta forma, anunciantes, editores, agencias, redes publicitarias y otros agentes intervinientes serán responsables del tratamiento cuando:
- utilicen cookies propias y cuando,
- utilizando cookies de terceros, participen en la determinación de los fines y medios del tratamiento, aunque este se realice a través de un encargado del tratamiento, como por ejemplo cuando un anunciante contrata a una agencia de medios para que realice los tratamientos bajo su dirección y de acuerdo con sus instrucciones.
En principio, cada responsable del tratamiento responderá del tratamiento concreto que realice.
Cada responsable asumirá su respectiva responsabilidad en aquellos casos en los que concurran diferentes responsables del tratamiento.
Corresponsables del tratamiento
Las entidades referidas en los párrafos anteriores (anunciantes, agencias, redes publicitarias, editores y otros agentes) serán consideradas corresponsables del tratamiento y deben cumplir con el artículo 26 del RGPD cuando determinen conjuntamente las finalidades y los medios del tratamiento.
La existencia de corresponsabilidad no se traducirá necesariamente en una responsabilidad equivalente de las distintas entidades a los que atañe un tratamiento de datos personales, sino que la responsabilidad de cada entidad dependerá de la implicación que tenga en el tratamiento concreto. Por lo tanto, el nivel de responsabilidad de cada una de ellas deberá evaluarse caso por caso y teniendo en cuenta todas las circunstancias pertinentes en función de sus responsabilidades respectivas asumidas en la determinación de medios y fines del tratamiento.
En este sentido, el alcance de las obligaciones de información y obtención del consentimiento por parte del editor respecto de las cookies de terceros se circunscribe a los tratamientos de los que es responsable, incluida en su caso la responsabilidad conjunta en cuanto a que el usuario conozca y consienta la utilización por terceros identificados de sus cookies y las finalidades del tratamiento de datos asociado a ellas.
Dichas obligaciones no se extienden, en cambio, a las fases ulteriores del tratamiento en las que el editor no interviene, que serán responsabilidad exclusiva del tercero. Por ejemplo, la responsabilidad no se extendería a los tratamientos de datos realizados ulteriormente por terceros con la finalidad de que éstos puedan ofrecer servicios de creación de audiencias, perfiles o similares (elaborados a partir del tratamiento de datos obtenidos mediante cookies), ni podrá presumirse la responsabilidad en la elaboración de tales audiencias o perfiles por el hecho de que se utilicen. En cualquier caso, la responsabilidad administrativa exigible ante las autoridades de control por el cumplimiento de las obligaciones derivadas del uso de cookies corresponde a cada parte obligada y no es desplazable contractualmente.
Encargados del tratamiento
Son encargados del tratamiento los agentes que limiten su actuación a seguir las instrucciones del responsable del tratamiento (figura del artículo 4.8 del RGPD regulada en el artículo 28).
Recomendaciones
– Informar, al menos con carácter genérico, por razones de transparencia, de aquellas cookies excluidas del ámbito de aplicación del artículo 22.2 de la LSSI, ya sea en la política de cookies o en la propia política de privacidad (ejemplo: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”).
– Utilizar una cookie por cada finalidad cuando se utilicen cookie polivalentes con dos o más finalidades diferentes y no exceptuadas del ámbito de aplicación del 22.2 de la LSSI para garantizar que se utilizan si se aceptan todas las finalidades que agrupan. Como ejemplo, si una cookie sirve para dos finalidades, pero el usuario solo acepta una de ellas, la cookie no debería utilizarse, y ello salvo que el sistema de gestión utilizado permita dar un tratamiento diferenciado a las distintas finalidades de estas cookies polivalentes, de forma que sea posible que, si el usuario acepta una de sus finalidades y no otras, la cookie solo opere con la finalidad aceptada.
Cookies excluidas del ámbito de aplicación del artículo 22.2 LSSI
Para las cuales no es necesario informar ni obtener el consentimiento sobre su uso según el Dictamen 4/201210 del GT29:
- Cookies de “entrada del usuario”.
- Cookies de autenticación o identificación de usuario (únicamente de sesión).
- Cookies de seguridad del usuario.
- Cookies de sesión de reproductor multimedia.
- Cookies de sesión para equilibrar la carga.
- Cookies de personalización de la interfaz de usuario.
- Determinadas cookies de complemento (plug-in) para intercambiar contenidos sociales.
Procedimiento para el cumplimiento de las nuevas Directrices
- Revisar las cookies, bien internamente, bien con el asesoramiento de asociaciones o entidades especializadas para identificar las cookies que se están utilizando:
- Tipos de cookies que se usan:
- ¿Son cookies propias o de terceros?
- ¿Son de sesión o persistentes?
- Identificar la función de cada cookie.
- Determinar si se encuentran o no en el ámbito de aplicación del artículo 22.2. de la LSSI.
- Cumplir con la obligación de transparencia y obtención del consentimiento cuando las cookies se encuentren dentro del ámbito de aplicación del artículo 22.2 de la LSSI.
- Realizar periódicamente la revisión con el fin de actualizar la información disponible sobre las cookies dados los posibles cambios que se pueden producir en la gestión y uso de las
- Estudiar por parte de las entidades intervinientes, las soluciones más apropiadas para dar cumplimiento a las obligaciones de acuerdo con la naturaleza de su actividad, el modelo de negocio que desarrollan y el alcance de su responsabilidad. Las soluciones han de ser reconocidas por la mayoría de los navegadores.
¿Desde cuándo afecta?
Se establece un período transitorio de adaptación de tres meses, contados desde el 1/8/2020, para que las empresas adapten el uso de las cookies a las Directrices 05/2020. Es por tanto el 31/10/2020 la fecha máxima en la que las empresas habrán de realizar esta adaptación.
Ley: Directrices 05/2020 del CEPD sobre el consentimiento
Fuente:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf
https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf