Legal Alert cookies

Artículo

Conoce la Nueva Guía sobre el uso de las cookies

Legal Alert

La AEPD introduce nuevas medidas y profundiza en aspectos que anteriormente estaban más difusos siguiendo la línea marcada por la nueva propuesta de Reglamento e-Privacy.

El pasado viernes 8 de noviembre, la Agencia Española de Protección de Datos (AEPD) publicó la nueva Guía sobre el uso de las cookies, que sustituye a la anterior Guía publicada en el año 2013.

Con el objetivo de aportar soluciones y orientaciones prácticas en relación con el uso de cookies y tecnologías similares (dispositivos de almacenamiento y recuperación de datos), la AEPD introduce nuevas medidas y profundiza en aspectos que anteriormente estaban más difusos siguiendo la línea marcada por la nueva propuesta de Reglamento e-Privacy.

El documento realiza un exhaustivo análisis de los distintos tipos de cookies. A este respecto, destacamos la inclusión del término de cookie polivalente para aquellas cookies con más de una finalidad, o el hecho de que se exceptúan del cumplimiento de las obligaciones de la normativa aplicable, las cookies de personalización y preferencias siempre que las mismas obedezcan a la finalidad seleccionada y sea el propio usuario quien elija o solicite el servicio o la característica en cuestión (p.ej. el idioma).

La AEPD recoge en este documento las principales obligaciones en la materia:

- Obligación de transparencia: a este respecto se recomienda proporcionar información, en relación con los fines del tratamiento, incluso respecto de las cookies excluidas del ámbito de aplicación del artículo 22 LSSI. Además, cuando la utilización de una cookie conlleve el tratamiento de datos personales, la información deberá facilitarse con arreglo a lo dispuesto en el artículo 13 RGPD. En este sentido, se recomienda el sistema de la información por capas de acuerdo a lo dispuesto por el GT29.

La información a proporcionar en la primera capa informativa deberá comprender la (i) identificación del editor responsable, las (ii) finalidades de las cookies, la (iii) indicación sobre si las cookies son propias o de terceros, (iv) información genérica sobre la información utilizada en caso de elaboración de perfiles de usuario, (v) modo en el que el usuario podrá aceptar, configurar o rechazar las cookies, y (vi) un enlace claramente visible dirigido a una segunda capa informativa en la que se incluya información más detallada.

- Obligación de obtención del consentimiento antes de instalar las cookies: podrá recabarse mediante las siguientes formulas:

  • Declaración (clic en la casilla de aceptación). Dando la opción de aceptar o rechazar cada una de las cookies, o aceptar todas las cookies con opción a configurarlas o rechazarlas.
  • Clara acción afirmativa (modalidad de "seguir navegando"), siempre y cuando (i) el usuario haya realizado algún tipo de acción inequívoca, descartándose el silencio o la inacción y (ii) el usuario haya sido informado con claridad, con qué acción suya se puede entender que presta su consentimiento. Esta modalidad no podrá utilizarse para tratamientos que requieran el consentimiento explícito de los usuarios (categorías especiales de datos, art.9.2.a RGPD).

En ambos casos debe incluirse siempre un enlace a la segunda capa informativa y el usuario debe poder revocar el consentimiento en cualquier momento y de forma sencilla.

Se contemplan, además, nuevos mecanismos de obtención del consentimiento, como por ejemplo a través de plataformas de gestión del consentimiento (consent management platform o CMP).

Además, se elimina la modalidad de obtención del consentimiento a través de la aceptación de los "Términos y condiciones de uso de la página web" o de su "Política de Privacidad" al solicitar el alta en un servicio.

Junto a lo anterior, se incluyen también los requisitos que deben cumplirse en aquellos sitios web específicamente dirigidos a menores de 14 años, así como diferentes ejemplos para cumplir con los mismos, precisando la necesidad de adoptar cautelas adicionales como una mayor sencillez y claridad en el lenguaje empleado.

Entre las novedades destacamos también la introducción de las técnicas de fingerprinting (técnicas de toma de la huella digital del dispositivo) como nueva tecnología dentro del ámbito de aplicación del artículo 22 de la Ley de Servicios de la Sociedad de la Información (LSSI).

La Guía también incluye un apartado sobre "actualización del consentimiento" en el que se destaca como buena práctica que la validez del mismo para el uso de una determinada cookie no tenga una duración superior a 24 meses y que, durante este tiempo, se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.

Accede aquí al contenido de la Guía