El reciente avance en tecnología ha facilitado que más personas accedan a múltiples servicios y contenido digital, revolucionando el mundo y la forma en la que nos comunicamos para siempre.
A raíz de ello, la privacidad es un tema que ha adquirido una relevancia máxima en todo el mundo debido a la recopilación masiva y uso de datos personales, especialmente después de casos como el de Edward Snowden.
En este contexto, la regulación de las cookies y la protección de los datos personales son fundamentales
En Europa, el Reglamente General de Protección de Datos (RGPD) y la Directiva sobre la privacidad y las comunicaciones electrónicas (ePrivacy), que ha sido transpuesta y se aplica también en España a través de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE), exigen a los sitios web informar a los visitantes de manera clara y transparente sobre el uso de cookies y obtener consentimiento.
Como ya comentamos en nuestra guía para autónomos y PYMES sobre el RGPD, aunque este tema pueda parecer algo aburrido y confuso, es fundamental entender bien la normativa y saber cómo cumplir con ella para evitar sanciones.
En este artículo te cuento, de la forma más sencilla y clara, todo lo que necesitas saber sobre la política de cookies.
¿Qué son las Cookies?
Todo el mundo ha oído hablar de las "cookies", pero es muy probable que el conocimiento sobre qué son las cookies sea, en general, "superficial".
Las cookies son pequeños archivos de texto que se almacenan en un dispositivo (ordenador, teléfono móvil o incluso tu tablet) cuando visitas una página web.
Las cookies tienen varias finalidades:
Este almacenamiento de datos puede incluir información sobre tu comportamiento de navegación, preferencias de idioma, configuración de la página y otros datos relacionados.
Es por ello que también pueden suponer una vulneración de la privacidad, el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI) establece que los prestadores de servicios deben obtener el consentimiento informado del usuario para el uso de cookies que almacenan o accedan a datos en los dispositivos del usuario, salvo excepciones.
El uso de cookies debe estar en conformidad con el Reglamento General de Protección de Datos (RGPD), en el cuál se regula como las cookies pueden implicar el tratamiento de datos personales.
Aunque lo describiremos más adelante y algunos puntos los repasaremos más en profundidad, algunas cookies no necesitan consentimiento ya que cumplen funciones básicas.
¿Cómo funcionan y para qué sirven las Cookies?
Las cookies han formado parte del Protocolo de Transferencia de Hipertexto (HTTP) desde que fueron introducidas por Netscape en el año 1995.
A diferencia de la autenticación nativa de HTTP, son utilizadas prácticamente por todos los sitios web del mundo.
Cuando un usuario visita por primera vez un sitio web, el servidor no tiene información sobre él, pero espera su regreso, por lo que le asignará una cookie única que le permitirá identificarlo.
Esta cookie puede contener una serie de datos en formato nombre=valor y se asocia al usuario mediante las cabeceras de respuesta HTTP Set-Cookie.
Las cookies no tienen restricciones en cuanto a la información que pueden almacenar, aunque normalmente contienen un número de identificación único generado por el servidor para fines de seguimiento.
Un ejemplo sería una cookie con el valor id="34294", como se muestra en la siguiente imagen.
Este número será utilizado por el servidor para buscar en su base de datos información relacionada con el visitante, aunque también hay cookies que optan por almacenar más información detallada.
El navegador guarda los datos de las cookies enviadas por el servidor en una base de datos interna y cuando el usuario regresa al mismo sitio en una nueva visita, el navegador seleccionará las cookies asociadas con ese servidor y las incluirá en la cabeza de la solicitud HTTP con Cookie.
Tipos de Cookies
Existen diferentes tipos de cookies y se pueden clasificar según en función de quién las gestiona (cookies propias o de terceros) y también según su finalidad específica, como pueden ser las cookies técnicas, de análisis, de personalización o de publicidad comportamental.
Esta clasificación es clave tanto desde el punto de vista técnico como legal, ya que determina si requieren o no el consentimiento del usuario.
Cookies de sesión
Las cookies de sesión son aquellas que recogen y almacenan datos únicamente mientras un usuario accede a la página web.
Su duración está limitada a la sesión activa del navegador, por lo que se eliminan automáticamente al cerrarlo.
Se utilizan para garantizar funcionalidades básicas, como mantener la sesión iniciada o recordar elementos añadidos al carrito de compra en un e-commerce, por ejemplo.
Cookies persistentes
Las cookies persistentes son aquellas que almacenan datos en el dispositivo del usuario durante un período de tiempo variable, que puede ir desde unos minutos hasta varios años.
A diferencia de las cookies de sesión, las cookies persistentes no se eliminan al cerrar el navegador, por lo que permanecen activas hasta su fecha de expiración o hasta que el usuario las elimine manualmente.
Generalmente, se utilizan para recordar preferencias de navegación, credenciales de inicio de sesión, etc.
Desde el punto de vista legal, es recomendable limitar su duración al mínimo necesario en función de la finalidad para la que se recogen, ya que en comparación con las cookies de sesión implican mayores riesgos para la privacidad.
El Dictamen 4/2012 del Grupo de Trabajo del Artículo 29 (GT29), señala que la caducidad de una cookie debe estar relacionada con su propósito, por lo que generalmente es más habitual (no siempre) que las cookies de sesión estén exentas del consentimiento informado, algo que no ocurre tanto en el caso de las cookies persistentes.
Cookies de tercero
Las cookies de terceros son aquellas que se instalan en el dispositivo del usuario por un dominio distinto al de la página que se está visitando.
Son utilizadas principalmente con fines publicitarios o de análisis.
Según la AEPD, estas cookies requieren el consentimiento previo del usuario, siendo informado de manera clara sobre su uso y finalidad.
Vale la pena mencionar que, Safari y Firefox ya han implementado medidas para bloquearlas por defecto en sus navegadores.
Google Chrome, por su parte, también tiene previsto la eliminación de cookies de terceros en el futuro, como parte de su proyecto Privacy Sandbox, con el objetivo de mejorar la privacidad de los usuarios.
Cookies técnicas
Las cookies técnicas son necesarias para que la página web funcione correctamente y para que el usuario pueda navegar por ella y utilizar sus servicios como iniciar sesión, gestionar un carrito de compra o acceder a zonas seguras.
Incluyen también aquellas que el editor emplea para administrar el sitio, controlar el tráfico, evitar fraudes, reproducir contenidos multimedia o mostrar elementos dinámicos o de redes sociales.
Las cookies técnicas no recopilan información del usuario con fines comerciales, por lo que no requieren consentimiento, siempre que se utilicen exclusivamente para proporcionar el servicio solicitado por el usuario.
Cookies de preferencia o personalización
Las cookies de personalización permiten recordar configuraciones seleccionadas por el usuario para adaptar la experiencia de navegación, como el idioma, la región, el tipo de navegador o el aspecto visual del sitio.
Cuando estas preferencias son elegidas directamente por el usuario - por ejemplo, al seleccionar el idioma, la moneda o el tamaño del texto -, este tipo de cookies están exentas de requerir consentimiento, siempre que su uso se limite estrictamente a la finalidad solicitada y no se empleen para otros fines.
Además, no es necesario que sean cookies de sesión, ya que conservar las preferencias mejora la experiencia del usuario y evita que se tenga que repetir la configuración en cada visita.
Cookies de análisis o medición
Las cookies de análisis o medición permiten obtener datos sobre el comportamiento de los usuarios en una página web, como qué páginas visitan, cuánto tiempo permanezcan en ellas o cómo interactúan con los contenidos.
Su finalidad es elaborar estadísticas y análisis que ayuden a mejorar la experiencia del usuario y optimizar el rendimiento del sitio.
Este tipo de cookies no suele representar un riesgo alto para la privacidad cuando se utilizan correctamente, pero sí requieren el consentimiento informado del usuario, tal y como establece la normativa y manifestó el GT29.
Cookies de publicidad comportamental
Las cookies de publicidad comportamental recogen información sobre los hábitos de navegación del usuario mediante una observación continuada, con el fin de crear un perfil y mostrar anuncios personalizados según sus intereses.
Este tipo de cookies permite segmentar la publicidad y aumentar su efectividad, pero implica un mayor impacto sobre la privacidad del usuario, por lo que siempre requiere su consentimiento informado previo.
Aunque esta es una clasificación habitual, los responsables pueden establecer sus propias categorías siempre que informen de manera clara y transparente sobre su uso y finalidad.
Ley de Cookies y normativa en España
Uno de los principales motivos por los que la regulación sobre cookies o la RGPD causa "confusión" es por la existencia de múltiples normativas y las dudas frecuente sobre cómo interaccionan o se entrelazan entre ellas.
Sin entrar en detalles que se alejen de lo pragmático, tratemos de realizar un resumen para una comprensión general.
En definitiva y de forma resumida, el LSSI transpone al marco nacional la Directiva ePrivacy que fija la obligación de informar y obtener el consentimiento para cookies en el artículo 5(3), la RGPD complementa siempre y cuando se traten datos personales y la autoridad de control será la encargada de ejercer las correspondientes sanciones.
Detallemos ahora en más profundidad el artículo 22 de la LSSI.
Directiva ePrivacy
Directiva ePrivacy (2002/58/CE): Esta directiva fija la obligación de informar y obtener el consentimiento para cookies, detallado en el artículo 5(3).
RGPD y Cookies
Aunque el artículo 22.2 de la LSSI-CE hace referencia a la Ley Orgánica 15/1999 de Protección de Datos (LOPD), como ya sabéis actualmente está vigente el Reglamente General de Protección de Datos (RGPD), el cuál establece requisitos más estrictos en cuanto al consentimiento informado y el manejo de los datos personales.
Por lo tanto:
Artículo 22 de la LSSI-CE
El artículo 22 de la LSSI menciona en el segundo apartado:
“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”.
Es decir, el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE) establece que los proveedores de servicios de la sociedad de la información deben obtener el consentimiento informado de los usuarios para el uso de cookies después de facilitar información clara y completa sobre los fines del tratamiento de los datos.
Como bien menciona la AEPD, el texto citado anteriormente aplica a cualesquiera “dispositivos de almacenamiento y recuperación de datos” en cualesquiera “equipos terminales de los destinatarios” y que la LSSI define como “Destinatario del servicio o destinatario” a la “persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información”.
Por lo tanto, el artículo 22 de la LSSI y el contenido mostrado en este artículo se refieren al uso de cookies para almacenar y/o recuperar datos de un equipo terminal de una persona física o jurídica que usa, sea por motivos de carácter profesional o no, un servicio de la sociedad de la información, como detalla la AEPD.
Por último, nos quedaría preguntarnos: ¿Qué es la sociedad de la información?, ¿Quiénes son los prestadores de servicios?
Un servicio de la sociedad de la información es cualquier servicio prestado a petición individual de un usuario, a título oneroso o no, a distancia y por vía electrónica y que constituya una actividad económica para el editor cuya prestación origina la utilización de las cookies.
Vale la pena mencionar que todas aquellas páginas web que no suponen una actividad económica para la persona no deberán cumplir con las obligaciones del artículo 22.2 LSSI.
Sanciones por incumplimiento de la Ley de Cookies
El incumplimiento de las obligaciones legales y las normativas españolas relacionadas con el uso de cookies puede dar lugar a importantes sanciones económicas.
La cuantía de las sanciones varía según la gravedad de la infracción, y puede llegar hasta 30.000 euros bajo la LSSI (Ley de Servicios de la Sociedad de la Información) y ser aún más severa si se incurre en el incumplimiento del RGPD al tratar con datos personales, entremos más en detalle.
LSSI y sanción por incumplimiento de ley de Cookies
La instalación de cookies en terminales de usuario está regulado, en España, principalmente por la Ley de Servicios de la Sociedad de Información (LSSI) que transpone la ePrivacy.
Las consecuencias de no cumplir con esta obligación - por ejemplo, instalar cookies antes de mostrar el aviso o sin permitir rechazarlas fácilmente - se considera una infracción leve, sancionable con hasta 30.000 euros (según los artículos 38.4 y 39.1.c de la LSSI), de hecho, como veremos más adelante ya ha habido sanciones a empresas nacionales por este mismo motivo.
La cuantía de la sanción depende de factores como:
Además, cuando las cookies recogen datos personales, también se aplica el RGPD, que regula el tratamiento posterior de esa información, en estos casos, las sanciones podrían ser mucho más elevadas.
Es importante aclarar que la LSSI no sustituye al RGPD, sino que lo complementa.
La primera regula cómo se obtiene el consentimiento y el segundo qué se hace con los datos recabados, así lo ha dejado claro el Comité Europeo de Protección de Datos (EDPB): el incumplimiento puede afectar a ambas normas y, por tanto, genera doble riesgo legal.
Realizamos esta aclaración porque, en este punto, suele ser habitual que exista confusión.
Casos reales de sanciones por incumplimiento de la Ley de Cookies
En el artículo sobre el RGPD mencionamos ejemplos de empresas que fueron sancionadas con multas astronómicas por no cumplir con las regulaciones en materia de privacidad.
Aunque no suelen ser tan sonadas, las autoridades de protección de datos se están poniendo las pilas y las sanciones económicas por incumplimiento de la normativa sobre cookies son cada vez más frecuentes.
Por ejemplo, en Enero de 2022, la autoridad francesa de protección de datos, la CNIL, impuso multas millonarias a Google y Facebook por su política de cookies.
Google recibió una sanción económica de 150 millones de euros y Facebook una sanción de 60 millones de euros.
Incluso las empresas pequeñas pueden ser sancionadas. Por ejemplo, el Colegio Montessori de Tres Cantos fue sancionado con 5.000 euros por no cumplir con la regulación.
Empresas más grandes a nivel nacional como Iberia también han recibido sanciones, recibió una sanción de 30.000 euros porque al buscar un viaje en su página web, los usuarios no tenían la posibilidad de rechazar las cookies.
Gestión del consentimiento
Como hemos dicho anteriormente, para la utilización de las cookies no exentas es necesaria la obtención de consentimiento por parte del usuario.
Se puede obtener el consentimiento del usuario tal y como recomienda la AEPD mediante fórmulas expresas, como por ejemplo haciendo que el destinatario haga clic en un botón que ponga "consiento", "acepto" u otros términos similares.
En cualquier caso, se le debe transmitir al destinatario información clara y accesible sobre la finalidad de las cookies y de cómo van a ser utilizadas y, por supuesto, en ningún caso la mera actividad del usuario implica la prestación del consentimiento de forma implícita.
En última instancia, la decisión sobre que método utilizar para obtener el consentimiento para usar cookies dependerá de diversas variables.
First layer: obteniendo el consentimiento
En las directrices de transparencia el GT29 recomienda el uso de declaraciones o avisos por layers o niveles, esto es, que la información se obtenga por capas.
Por lo tanto, se mostraría la información más esencial en un primer nivel, cuando se accede a la página web o a la aplicación y se complementaría con una segunda capa en la que se ofrezca información adicional sobre las cookies.
En la primera capa se incluirá la siguiente información:
Esta información se mostrará a través de un formato visible como por ejemplo un banner de consentimiento para el usuario y se mantendrá hasta que el usuario por fin realice la acción requerida.
En la imagen anterior podemos observar la propuesta de primera capa por parte de la AEPD.
Second layer: obteniendo el consentimiento
En la segunda capa, se mostraría información más detallada, como por ejemplo:
En la imagen anterior podemos observar el banner de segunda capa que todavía a día de hoy utiliza Zara donde podemos modificar nuestras preferencias en base al tipo de cookie y obtener más información.
Plugin para Política de cookies para obtener consentimiento
Aunque no es el objetivo principal de este artículo, quería dedicar un pequeño apartado a esta cuestión ya que es práctica.
Si tu página web está diseñada con WordPress, existen diferentes plugins de cookies para que puedas cumplir con la normativa de forma más sencilla y así evitar sanciones, mostrando un banner de primera y segunda capa.
GPDR Cookie Compliance
Uno de los mejores plugins de cookies para WordPress que tenemos disponibles es GDPR Cookie Compliance ya que es bastante intuitivo y fácil de usar y relavitamente ligero.
Es bastante personalizable ya que permite editar los textos completamente y también los settings de los botones, tiene bastantes opciones de integración con otras herramientas de uso frecuente, permite establecer la posición donde queremos que se muestre y otra configuración importante en relación a las cookies y la obtención del consentimiento.
Hay que mencionar que algunas funcionalidades más "avanzadas" son de pago, pero eso es algo que ocurre con casi todos los plugins.
CookieYes – Cookie Banner for Cookie Consent
Otra opción disponible es utilizar CookieYes que nos permitirá bloquear cookies de terceros como Google Analytics, píxeles de Facebook, etc. hasta que el usuario de su consentimiento mediante el banner que podemos mostrar en la página web.
CookieYes también tiene opciones de personalización bastante flexibles, permite cumplir con otras regulaciones de privacidad y es bastante fácil de utilizar.
Las opciones de diseño nos permite cambiar los colores, las fuentes, los estilos, la posición en la página e incluso cómo se comporta el banner cuando haces clic en un botón, que también son configurables.
También trae incorporado traducción automática y la posibilidad de generar automáticamente las páginas de política de cookies y política de privacidad, aunque desconozco si actualmente esas opciones están sólo disponibles dentro de la versión premium, que al igual que en el caso anterior, también tiene versión de pago.
Cómo diseñar tu Política de Cookies
Enter your text here...
Ejemplo página de Política de Cookies
Enter your text here...
