La normativa de cookies europea, la llamada ley de cookies, prevé que el usuario que visita una página sea informado de una forma clara e inequívoca sobre el uso de cookies y que deba aceptar explícitamente el registro de sus datos personales.
Por tanto, es importante proporcionar información sobre las cookies en la política de privacidad de una manera clara e inequívoca y siempre accesible, como indica en su información Digital Guide
Usar un banner, una ventana emergente o una página independiente depende de varios criterios, principalmente técnicos. Una ventana emergente podría ser incompatible con algún navegador y, por lo tanto, ser bloqueada, mientras que una página web independiente podría confundir al usuario y aumentar la tasa de rebote.
La ley de cookies se encuentra contenida en el Real Decreto-ley 13/2012 de 30 de marzo de 2012, publicado en el BOE el 31 de marzo de 2012 y en vigor desde el 1 de abril del mismo año (es de cumplimiento obligado bajo pena de sanción). Reflejo de la Directiva europea de 2009, este decreto-ley se integra en la Ley 34/2002 de 11 de julio de servicios de la sociedad de la información y de comercio electrónico, ampliándola en el artículo 22 con la directiva europea sobre cookies. En él queda clara la necesidad de contar con la conformidad del usuario respecto al uso de sus datos, mediante la instalación en el terminal de dispositivos de almacenamiento, tales como cookies y la necesidad de avisar al usuario previamente. Solo se excluyen aquellas cookies necesarias para el funcionamiento de la página.
Un año después, en 2013, la Agencia Española de Protección de Datos publica la Guía sobre el uso de cookies, que fija, a partir de la ley europea, de qué se tiene que informar, cuándo y cómo.
En ella se especifica el procedimiento que se ha de usar para explicar el uso de cookies al usuario y pedir su consentimiento (página de bienvenida, ventana emergente, cabecera o pie de página, paso previo de aceptación antes de descargas o reproducciones), así como qué dispositivos de almacenamiento se excluyen de la normativa, como cookies de acceso, de autenticación, de ajustes personales o de sesión (token).
En general, el almacenamiento de las cookies no necesarias para la página ha de ser consentido por el usuario, que ha de ser informado sobre el uso que tienen, y qué información almacenan, si pueden identificar o no al usuario, también aunque el usuario haya ajustado el navegador para que acepte un tipo determinado de cookies. Se suele incluir un enlace a la página de protección de datos donde se incluye una Política de Cookies con la siguiente información:
- Qué datos se recopilan
- Por qué se almacenan estos datos
- Durante cuánto tiempo serán almacenados
- Quién es el responsable del almacenamiento de la información
- Cómo se puede cancelar el consentimiento