La AEPD tras la reciente sentencia de la Sentencia del TJUE 673/17 , ha proporcionado unas claras directrices sobre el correcto cumplimiento del RGPD en relación a las cookies.
Entenderemos cookies como cualquier tipo de dispositivo de almacenamiento y recuperación de datos que se utilice en el equipo terminal de un usuario con la finalidad de almacenar información y recuperar la información ya almacenada.
Se pueden clasificar en varias categorías :
- según la entidad que las gestione (propias o de tercero)
- según su finalidad (técnicas, de preferencia o personalización, de análisis o medición o de publicidad comportamental)
- según plazo de tiempo que permanecen activas (de sesión o persistentes)
Inicialmente para determinar si estamos obligados a informar sobre el uso de cookies, debemos distinguir entre cookies exceptuadas y no exceptuadas.
Como cookies exceptuadas del cumplimiento de las obligaciones establecidas en el art 22.2 LSSI estarían las utilizadas para algunas de esas funciones:
- Cookies de “entrada de usuario”
- Cookies de autenticación o identificación de usuario (únicamente de sesión)
- Cookies de seguridad de usuario
- Cookies de sesión de reproductor multimedia
- Cookies de sesión para equilibrar la carga
- Cookies de personalización de la interfaz de usuario.
- Determinadas cookies de complemento (plugin) para intercambiar contenidos sociales.
Todas estas cookies quedan excluidas del ámbito de aplicación del art. 22.2 LSSI. No obstante, por razones de transparencia se recomienda informar sobre ellas, al menos con carácter genérico, ya sea en la política de privacidad o en la política de cookies.
Entenderemos como cookies no exceptuadas, todas las que no estén incluidas en el listado anterior o las anteriores si se utilizan con otra finalidad diferente no exceptuada del ámbito de aplicación del artículo 22.2 de la LSSI.
En cuanto a las obligaciones legales impuestas por la normativa son dos: la obligación de transparencia y la obligación de obtención del consentimiento.
En lo relativo a la transparencia se determina el tipo de información que debe de facilitarse:
- Definición y función genérica de las cookies
- Información sobre el tipo de cookies que se utilizan y su finalidad
- Identificación de quien utiliza las cookies
- Información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies
- En su caso, información sobre las transferencias de datos a terceros países realizadas por el editor
- Cuando la elaboración de perfiles implique toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten de modo similar, será necesario que se informe sobre la lógica utilizada, así como la importancia y consecuencias previstas de dicho tratamiento para el usuario
- Periodo de conservación de los datos para los diferentes fines
- En relación al resto de información exigida por el art. 13 RGPD el editor podrá remitirse a la política de privacidad
Esta información debe ser concisa, transparente e inteligible, utilizando un lenguaje claro y sencillo. Por tanto, debe evitarse el uso de frases confusas como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias que almacenan información sobre el comportamiento de los usuarios mediante el análisis de los hábitos de navegación.
En el caso de que un usuario preste su consentimiento para el uso de cookies, la información debe seguir siendo fácilmente accesible, promoviendo la información por capas. Esta información se debe facilitar antes del uso o instalación de las cookies mediante un formato visible, y que deberá mantenerse hasta que el usuario realice la acción requerida para otorgar el consentimiento o rechazar la instalación.
La AEPD resalta la necesidad de obtener el consentimiento informado del usuario antes de instalar las cookies, por ello es necesario tener en cuenta:
- Que las modalidades de prestación del consentimiento pueden ser variadas
- Que el usuario deberá haber realizado algún tipo de acción
- Que el usuario tendrá que haber sido informado previamente y con claridad con qué concreta acción suya acepta la utilización de las cookies
- Que el usuario, en todo caso, podrá negarse a aceptar las cookies
- Que la información que se otorgue al usuario para que pueda consentir la utilización de las cookies se encuentre separada de la información que se le ofrezca sobre otros asuntos.
- Que la aceptación de los términos o condiciones de uso de la página web o servicio se separe de la aceptación de la política de privacidad o cookies
- (…)
Como ejemplo de modalidad válida para recabar el consentimiento, la AEPD incluye las opciones de aceptar, rechazar o configurar las cookies. Se admite la opción de “seguir navegando” como fórmula válida para obtener el consentimiento tras haber informado de ello, reforzando las garantías para que pueda ser considerada como una clara acción afirmativa e incorporando procedimientos para que denegar el consentimiento pueda ser tan sencillo como prestarlo.
En este sentido, se indica que será necesario que el usuario realice una acción que pueda calificarse como una clara acción afirmativa.
El enlace o botón para administrar las preferencias debe llevar al usuario directamente al panel de configuración y podrá integrarse en la segunda capa informativa. La AEPD indica que en el panel podrán implementarse dos botones: uno para aceptar todas las cookies y otro para rechazarlas todas. Estas posibilidades se admiten con el fin de facilitar la navegación del usuario evitando que tenga que ir marcando una por una las cookies que acepta o rechaza, partiendo de la premisa de que se le ha ofrecido una información granular que le permita tomar decisiones de forma selectiva.
En la segunda capa, se añade la obligación de facilitar información sobre las transferencias de datos a terceros países realizadas por el editor; sobre la elaboración de perfiles, cuando implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente; y sobre el periodo de conservación de los datos, para que de este modo la información que se suministra contenga los extremos del artículo 13 del Reglamento General de Protección de Datos.