1. ¿QUÉ SON LAS COOKIES?
Según el art. 22.2 de la LSSI, las cookies y otras tecnologías similares tales como local shared objects, flash cookies, son herramientas empleadas por los servidores Web (emisor) para almacenar y recuperar información de un equipo terminal receptor (persona física o jurídica), así como para ofrecer un correcto funcionamiento del sitio. El considerando 30 del GDPR menciona estas tecnologías y su impacto en la protección de datos.
Mediante el uso de estos dispositivos se permite al servidor Web recordar algunos datos concernientes al usuario, como sus preferencias para la visualización de las páginas de ese servidor, nombre y contraseña, productos que más le interesan, etc.
2. COOKIES QUE PRECISAN CONSENTIMIENTO Y COOKIES EXCEPTUADAS
Quedan exceptuadas de obtener el consentimiento informado, según el art. 22.2 de la LSSI, las cookies de carácter técnico y las necesarias para el funcionamiento del sitio web y las de prestación de servicios expresamente solicitados por el usuario, por lo que no sería necesario informar ni obtener el consentimiento sobre su uso.
Aunque no exista obligación, por razones de transparencia, se recomienda informar al usuario, al menos con carácter genérico, de estas cookies ya sea en la política de cookies o en la propia política de privacidad (ejemplo: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”).
Según el GT29 en su dictamen 4/2012* se interpretan cookies exceptuadas de consentimiento informado las:
ï Cookies de «entrada del usuario»
Las cookies de sesión y de entrada de usuario se suelen utilizar para rastrear las acciones del usuario al rellenar los formularios en línea en varias páginas, o como cesta de la compra para hacer el seguimiento de los artículos que el usuario ha seleccionado al pulsar un botón.
ï Cookies de autenticación o identificación de usuario (únicamente de sesión)
ï Cookies de seguridad del usuario
P. ej. Las cookies utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web.
ï Cookies de sesión de reproductor multimedia
ï Cookies de sesión para equilibrar la carga
ï Cookies de personalización de la interfaz de usuario
ï Cookies de complemento (plug-in) para intercambiar contenidos sociales
*En el citado dictamen se observa que para que una cookie pueda estar exenta del consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello es mucho más probable que se consideren como exceptuadas las cookies de sesión que las persistentes, pero se deberán analizar.
Comentar a este respecto que una misma cookie puede tener más de una finalidad por lo que existe la posibilidad de que para una finalidad quede exceptuada y para otra necesite el consentimiento informado.
3. ¿QUÉ TIPOS DE COOKIES EXISTEN?
1) Según sea la entidad que gestione el equipo o dominio desde donde se envíen podemos distinguir:
ï Cookies propias: son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.
ï Cookies de terceros: son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.
o En el caso de que las cookies sean instaladas desde un equipo o dominio gestionado por el propio editor, pero la información que se recoja mediante éstas sea gestionada por un tercero, no pueden ser consideradas como cookies propias si el tercero las utiliza para sus propias finalidades.
2) Según el plazo de tiempo que permanecen activadas en el equipo terminal podemos distinguir:
Cookies de sesión: son un tipo de cookies diseñadas para recabar y almacenar datos mientras el usuario accede a una página web.
Con o sin consentimiento, en función de su caducidad o finalidad.
Cookies persistentes: son un tipo de cookies en el que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.
Con consentimiento informado.
3) Según la finalidad para la que se traten los datos obtenidos a través de las cookies, podemos distinguir entre:
Cookies técnicas y funcionales: son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, p. ej., controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos de un pedido, realizar el proceso de compra de un pedido, realizar la inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.
Sin consentimiento, recomendable información.
Cookies de personalización: cookies funcionales que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como, p. ej., el idioma, el tipo de navegador, la configuración regional desde donde accede al servicio, etc.
Sin consentimiento, recomendable información.
Cookies publicitarias: cookies funcionales que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios.
Sin consentimiento, recomendable información.
ï Cookies analíticas: son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.
Con consentimiento informado.
*El GT29 manifiesta que, pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.
Más información sobre cookies analíticas y para deshabilitarlas:
Política de privacidad de Google y Exclusión de Google Analytics
Cookies de publicidad comportamental: recogen información sobre las preferencias y elecciones personales del usuario (retargeting).
Son aquéllas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
Con consentimiento informado.
Más información sobre cookies de publicidad:
http://www.lssi.gob.es/Paginas/politica-cookies.aspx
Más información para deshabilitar cookies de publicidad:
Alianza Europea de Publicidad Digital Interactiva http://www.youronlinechoices.com/es/preferencias/
La European Interactive Digital Advertising Alliance (Alianza Europea de Publicidad Interactiva), es una asociación sin ánimo de lucro (AiSBL) con sede en Bruselas, inscrita en el Registro de Moniteur Belge con el número BE 0846.790.105. El domicilio social se encuentra en Rue des Deux Eglises 26 | B-1000 Bruselas (Bélgica). Para más información, o si tiene cualquier pregunta acerca de los presentes términos y condiciones, le rogamos que se ponga en contacto con la EDAA por correo electrónico: privacy@edaa.eu
También podrá controlar los anuncios y seguimientos de los mismos en Ghostery: http://www.ghostery.com/
Cookies sociales: son establecidas por las plataformas de redes sociales en los servicios para permitirle compartir contenido con sus amigos y redes. Las plataformas de medios sociales tienen la capacidad de rastrear su actividad en línea fuera de los Servicios. Esto puede afectar el contenido y los mensajes que ve en otros servicios que visita.
Con o sin consentimiento, en función de su caducidad o finalidad.
Más información sobre cookies de sociales:
Facebook: https://www.facebook.com/policies/cookies/ Google: http://www.google.es/intl/es/policies/privacy/
Cookies de afiliados: permiten hacer un seguimiento de las visitas procedentes de otras webs, con las que el sitio web establece un contrato de afiliación (empresas de afiliación).
Con consentimiento informado.
Cookies de seguridad: almacenan información cifrada para evitar que los datos guardados en ellas sean
vulnerables a ataques maliciosos de terceros. Se usan sólo en conexiones HTTPS.
Con o sin consentimiento, en función de su caducidad o finalidad.
Más información sobre cookies de seguridad:
https://blogthinkbig.com/que-son-las-cookies
Cookies zombie: son las que se recrean a sí mismas después de ser borradas. Las cookies zombis se guardan en el dispositivo y no en el navegador, usualmente con la finalidad de que se pueda acceder a ellas sin importar qué navegador se esté usando y amenazando la privacidad y seguridad del usuario.
Con consentimiento informado.
4. INFORMACIÓN Y COMUNICACIÓN DEL TRATAMIENTO (POLÍTICA DE COOKIES)
La información sobre las cookies facilitada al usuario debe ser suficientemente completa para permitir entender sus finalidades y el uso que se les dará.
Los requisitos para que la política de cookies sea transparente son:
La información o la comunicación debe ser concisa, transparente e inteligible, evitando el cansancio informativo.
Se ha de utilizar un lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje.
La información ha de ser de fácil acceso, proporcionando un enlace claramente visible que dirige directamente a la información.
La política de cookies debe contener:
Definición y función genérica de las cookies.
Información sobre el tipo de cookies que se utilizan y su finalidad.
Identificación de quién utiliza las cookies (propias y/o de terceros).
Información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies.
Información obligatoria exigida por el art. 13 GDPR:
– Identidad y datos de contacto del responsable del tratamiento y del DPO.
– Legitimación (base jurídica en que se ampara el tratamiento).
– Fines del tratamiento.
– Plazo de conservación o criterios que lo determinen.
– Derechos que asisten al interesado.
– Destinatarios de los datos (si se prevé o no comunicar o transmitir los datos a terceros).
Información específica exigida por el art. 13 GDPR:
– Cuando exista una transferencia internacional de datos: información sobre la existencia o ausencia de una decisión de adecuación adoptada por la UE o de garantías adecuadas de protección de datos.
– Cuando exista un mecanismo automatizado de elaboración de perfiles: información significativa sobre la lógica aplicada y las consecuencias previstas para el interesado.
– Cuando exista un propósito de tratar los datos para otros fines: información sobre estos fines.
– Cuando exista un requisito legal o contractual para obtener los datos: las consecuencias para el interesado en caso de no facilitarlos.
Para comunicar la información del tratamiento se debe disponer de un enlace accesible y permanente en todo momento a través de la página web a la Política de cookies. Se considerará que se cumple dicho requisito cuando el sistema de gestión de las cookies (panel de configuración, CMP, etc.) esté integrado en la propia política de cookies o cuando se incluya en esta política un enlace que lleve directamente al sistema de gestión.
5. OBTENCIÓN DEL CONSENTIMIENTO
Cuando la base legítima para la instalación de cookies se base en el consentimiento del usuario (interesado), se puede disponer de un banner, que se mostrará al acceder al sitio web, con la información básica del tratamiento (1ª capa basada en el art. 11 LOPDGDD), con la siguiente información:
Identidad del responsable del sitio web:
– no será necesario facilitar esta información cuando su identidad esté en el aviso legal y además pueda desprenderse de forma evidente del propio sitio web (nombre del dominio, marca publicitada, etc.).
Fines del tratamiento:
– en el caso de querer instalar varias cookies con distintos fines, el banner deberá informar de cada uno de dichos fines.
– en caso de que se elaboren perfiles de los usuarios (cookies de publicidad comportamental), se facilitará información genérica sobre el tipo de datos que se van a recopilar y utilizar.
Propiedad de las cookies:
– información sobre si las cookies son propias o también de terceros, sin que sea necesario identificar a los terceros en esta 1ª capa.
Cuando se elaboren perfiles de los usuarios (por ejemplo, en cookies de publicidad comportamental):
– Información genérica sobre el tipo de datos que se van a recopilar y utilizar.
Modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies:
– con la advertencia, en su caso, de que, si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.
Enlace claramente visible a la 2ª capa (Política de cookies) con la información completa del tratamiento:
– el enlace podrá utilizarse para conducir al usuario al panel de configuración de cookies, siempre que el acceso al panel de configuración sea directo, esto es, que el usuario no tenga que navegar dentro de esta 2ª capa para localizarlo.
IMPORTANTE: para legitimar un tratamiento basado en el consentimiento, no se deben usar ni instalar las cookies antes que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo. De la misma forma, debe ser tan fácil retirar el consentimiento como haberlo dado (art.7 GDPR).