Las cookies tienen un papel esencial en la prestación de la mayoría de servicios online, además de importantes implicaciones en la privacidad de los usuarios.
La Agencia Española de Protección de Datos (AEPD) junto a las asociaciones ADigital, Anunciantes, Autocontrol e IAB Spain, ha presentado la “Guía sobre el uso de las cookies”. Se trata de un documento que actualiza la primera guía sobre cookies que se publicó en 2013 y recoge orientaciones, garantías y obligaciones para las empresas en el uso de las cookies.
La guía de cookies de la AEPD
Tanto la Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSI) y sus actualizaciones, el Reglamento de la Unión Europea 2016/679 o reglamento general de protección de datos (RGPD), como la Ley Orgánica 3/2018 de protección de datos y garantía de los derechos digitales (LOPDGDD) establecen los límites en el uso de los datos personales y la guía de la EPD tiene como objetivo la difícil tarea de orientar a las empresas sobre su cumplimiento.
Las pautas que señala la guía de la AEPD se aplican a todo tipo de cookies utilizadas para almacenar y recuperar datos. También sirven para otras tecnologías similares como local shared objects, web beacons o cualquier tecnología biométrica instalada en los dispositivos. No obstante, quedan excluidas las cookies técnicas, que son las se encargan de la entrada de usuario, de la seguridad o del inicio de sesión, entre otras cuestiones.
Las recomendaciones de la AEPD
Partiendo desde la premisa de que el usuario debe dar su consentimientos antes de que un sitio web o plataforma instale sus cookies en su dispositivo, la guía de la AEPD recuerda que este consentimiento debe ser informado y que la información proporcionada debe ser transparente.
La política de cookies deberá ser inteligible, clara y directa. Deberá incluir la función de la cookie, los datos que almacena y para qué propósito, la posibilidad de que la información vaya a terceros países o empresas, o el periodo de conservación de los datos. Esto significa que, a partir de ahora, las cookies deben tratarse como parte esencial de la política de protección de datos de la empresa.
En este sentido, la guía de la AEPD establece que el consentimiento del usuario debe ser explícito. Para ello, propone varias modalidades para recabar dicho consentimiento:
- Al solicitar el alta en un determinado servicio. En este caso, debe solicitarse la aceptación por separado y no como parte de los términos generales de uso.
- Durante la configuración de la web o app.
- A través de plataformas de gestión del consentimiento.
- Antes de la descarga de un servicio o aplicación. Deberá informarse al usuario de que la solicitud de descarga requiere la aceptación de la política de cookies.
- A través de lo que la AEPD llama formato de información por capas. Esto significa que la política de cookies debe estar visualmente reflejada en dos capas: una en la que se incluye cierta información identificativa y la petición del consentimiento para la utilización de las cookies, y otra capa en la que aparece detallada la política de cookies.
- A través de la configuración del navegador. En este caso, el consentimiento debe obtenerse por separado para cada uno de los fines previstos.
Para que sea considerado un consentimiento válido, la guía incluye botones de aceptar, rechazar o configurar las cookies. También la opción de “seguir navegando”. Es decir, si el usuario continua usando el servicio se considerará en ciertos supuestos que ha aceptado la política de cookies. En este caso, deberá insertarse un aviso explícito en un lugar claramente visible.
La guía de cookies de la AEPD especifica que siempre deberá ponerse a disposición del usuario un documento o panel de configuración en el que se puedan habilitar o no las cookies de forma granular. Aunque no concreta el grado de granularidad, sí establece que las cookies deberán estar agrupadas por su finalidad.
La AEPD también trata la validez del consentimiento y la conservación de las cookies, considerando una buena práctica que el consentimiento para el uso de una cookie deje de valer pasados los dos años.