Las cookies: pautas para continuar haciéndolo bien

por Aloña Lertxundi

publicado el 20 noviembre 2019

Categorías: General

La Agencia Española de Protección de Datos (AEPD) ha actualizado la guía sobre el uso de las cookies. Por ello, nos vemos obligados a completar nuestro artículo Las cookies: pautas para hacerlo bien.

En términos generales, los dos elementos más importantes a tener en cuenta para poder proceder a la instalación de las cookies en el dispositivo del usuario siguen siendo los mismos: el deber de información y la obtención del consentimiento. Lo que ha cambiado es la concreción en las pautas a seguir para cumplir con ambas obligaciones.

En cuando al deber de información:

Además del cómo, la Agencia nos propone algunas directrices del qué. En primer lugar, la aclaración de lo que son las cookies para que el usuario tenga conciencia de lo que va a consentir o rechazar. En segundo lugar, los tipos de cookies que se utilizan en la página.

Podemos clasificar las cookies en tres grupos dependiendo al elemento que resaltemos. Esto es, en el caso que distingamos las cookies dependiendo de la entidad que las gestione, distinguimos dos tipos distintos:

1. Cookies propias: las que se envían desde un equipo gestionado por el editor.
2. Cookies de tercero: las que se envían desde un equipo gestionado por un tercero.

En el caso de que la distinción se efectúe según la finalidad, la guía identifica cuatro grandes grupos:

1. Cookies técnicas: las que permiten al usuario el buen funcionamiento de la navegación. Estas cookies se exceptúan de las obligaciones del artículo 22.2 de la LSSI.
2. Cookies de preferencias o personalización: las que permiten recordar información que diferencia la experiencia del usuario de la de los demás (el idioma, por ejemplo). Estás también podrían estar exceptuadas de las obligaciones en el caso de que sea el propio usuario quien realice la personalización.
3. Cookies de análisis o medición: las que permiten al responsable el seguimiento y análisis del comportamiento del usuario.
4. Cookies de publicidad comportamental: las que almacenan información del comportamiento y hábitos de navegación del usuario.

Por último, dependiendo del tiempo que pasen las cookies activadas en el terminal del usuario se distinguen otros dos tipos:

1. Las cookies de sesión: las que se guardan mientras el usuario accede a una página web y desaparecen al cerrar sesión.
2. Cookies persistentes: las que siguen almacenados durante el tiempo definido por el responsable de las cookies.

Para terminar con los deberes de información, el responsable tendrá que informar sobre la forma de aceptar, denegar y revocar el consentimiento o eliminar las cookies facilitando el ejercicio de dichas facultades; deberá identificar quién utiliza las cookies, información relativa a las transferencias a terceros países, sobre la elaboración de perfiles y el periodo de conservación.

En cuanto al consentimiento:

La Agencia vuelve a insistir en la importancia del consentimiento informado e inequívoco. Añade la necesidad de informar al usuario de cuáles acciones concretas serán las que se entenderán como consentimiento dado.

Se rechazan en cualquier caso el acceso a la segunda capa de las cookies (en el caso de que la información se muestre por capas) como una acción de otorgamiento del consentimiento. Además, también se rechaza como consentimiento dado la muletilla de “seguir navegando”. La AEPD exige que la acción sea algo activo –por ejemplo, deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio- y que resulte indiscutible que el usuario está realizando esa actividad consciente de que acepta las cookies; de ahí el resaltar que el consentimiento debe ser informado e inequívoco.

También nos propone distintos métodos de obtención del consentimiento como pueden ser la solicitud de alta en un servicio, el proceso de configuración del funcionamiento de la página web o aplicación, el formato de información por capas…

Además, nos vuelve a recalcar que el usuario debe tener la posibilidad de revocar el consentimiento dado y que se deberá actualizar el consentimiento en intervalos apropiados y cuando se efectúe algún cambio en los fines o destinatarios de dichas cookies, entre otros. Una vez leída esta guía resumida, le recomendamos, por un lado, que consulte la guía en su totalidad. Y por otro lado, que no dude en consultarnos si le surge cualquier duda.