POLÍTICA DE COOKIES
DECISIÓN DE LA AUTORIDAD DE CONTROL DE LA PROTECCIÓN DE DATOS PERSONALES: FICHA DE SÍNTESIS DE LA DECISIÓN N.º 231 DEL 10 DE JUNIO DE 2021 «COOKIE: NUEVAS DIRECTRICES EN DEFENSA DE LOS USUARIOS»
En su decisión del pasado junio, la Autoridad de control para la protección de los datos personales quiso reunir y actualizar todas las indicaciones normativas en materia de cookies y/o de otros sistemas de rastreo de la persona que utiliza herramientas tecnológicas para la navegación.
El punto crucial es el respeto de los principios de responsabilidad, confidencialidad desde el diseño y confidencialidad por defecto, los cuales de hecho apuntan a un uso cada vez más consciente y a un fortalecimiento del poder de decisión del usuario durante su navegación en línea.
Según la Decisión de la Autoridad de control, cada responsable del tratamiento del sitio dispone de 6 meses para adaptarse a las directrices.
El esquema que sigue recoge las principales preguntas y respuestas que permiten una correcta gestión de la declaración relativa a las cookies de cada sitio web.
1. DEFINICIÓN DEL TÉRMINO «COOKIE»
Se trata de cadenas de texto que los sitios web visitados por los usuarios (los Editores o «primeras partes») o sitios o servidores web diferentes (las «terceras partes») colocan y registran en el dispositivo final del usuario, para que luego sean retransmitidos a los sitios en la visita siguiente.
2. ¿PARA QUÉ SIRVEN LAS COOKIES?
Tienen diferentes finalidades tales como:
a) la ejecucíon de autenticaciones informatícas;
b) le suivi des sessions;
c) l’enregistrement d’informations sur des configurations spécifiques relatives aux utilisateurs qui entrent dans le serveur;
d) l’enregistrement des préférences, destinées également à faciliter l’exploitation des contenus en ligne (ex. pour garder une trace des articles dans un panier d’achats ou des informations pour la compilation d’un formulaire informatique, etc.);
e) le profilage de l’utilisateur (c’est-à-dire « l’observation » de ses comportements en vue de l’envoi de publicités ciblées, l’évaluation de l’efficacité du message publicitaire et l’adoption ultérieure de stratégies commerciales) en l’occurrence les cookies de profilage.
El mismo resultado puede obtenerse mediante otros instrumentos o técnicas de rastreo, como la toma de huellas digitales.
3 ¿EN QUÉ CONSISTEN LAS COOKIES TÉCNICAS?
Estas cookies sirven para navegar o para proporcionar un servicio solicitado por el usuario. No se utilizan para otras finalidades y normalmente son instaladas directamente por el responsable del tratamiento del sitio web.
Sin estas cookies, ciertas operaciones serían imposibles o más complicadas y/o menos seguras, como las actividades de home banking (visualización del extracto de cuenta, transferencias, pago de facturas, etc.), para las cuales las cookies que permiten identificar al usuario y mantener dicha identificación durante la sesión son indispensables.
4 ¿LAS COOKIES ANALÍTICAS SON COOKIES TÉCNICAS?
No.
La Autoridad de control ha precisado que pueden asimilarse a las cookies técnicas a condición de que sean utilizadas directamente para optimizar el sitio por el responsable del tratamiento del sitio. Este último podrá recoger informaciones de carácter estadístico en forma agregada sobre el número de usuarios y su modo de visita al sitio.
Si, en cambio, la elaboración de estos análisis estadísticos se confía a terceros, los datos de los usuarios deberán ser previamente minimizados y no podrán combinarse con otras elaboraciones ni transmitirse a otros terceros. En estas condiciones, las reglas previstas para las cookies técnicas, relativas a la información a proporcionar y al consentimiento, se aplican igualmente a las cookies analíticas.
A título de excepción, se permite tanto a la primera parte que lo realice personalmente como a la tercera parte que actúe por mandato de la primera, producir estadísticas con datos de varios dominios, sitios web o aplicaciones atribuibles al mismo responsable del tratamiento o grupo de empresas.
5 ¿ES SIEMPRE INDISPENSABLE EL CONSENTIMIENTO PARA LA INSTALACIÓN DE COOKIES EN SU PROPIO DISPOSITIVO?
Todo depende de las finalidades de uso de las cookies, es decir, si se trata de cookies «técnicas» o de «perfilado».
La instalación de cookies técnicas y analíticas no impone la obtención del consentimiento de los usuarios, pero siempre es necesario proporcionar la información (art. 13 del Reglamento UE 2016/679).
El uso de cookies de perfilado u otros instrumentos de rastreo está subordinado, en cambio, al consentimiento del usuario, después de que haya sido informado mediante modalidades simplificadas.
6 MODALIDADES DE ENTREGA DE LA INFORMACIÓN SIMPLIFICADA SOBRE LAS COOKIES Y EL CONSENTIMIENTO A LAS COOKIES DE PERFILADO
Como lo estipula la Autoridad de control, la información debería configurarse en varios niveles y proporcionarse a través de varios canales, adoptando las medidas más adecuadas para hacerla accesible sin discriminaciones a las personas con discapacidad.
En respeto del principio de responsabilidad, la Autoridad de control sugiere no obstante adoptar un mecanismo que desencadene la visualización instantánea de un banner que contenga las primeras informaciones «sucintas», la solicitud de consentimiento para el uso de cookies y un enlace para acceder a informaciones más «detalladas», en el momento de la entrada del usuario en un sitio web (en la página de inicio o en cualquier otra página).
En esta página, el usuario encontrará informaciones más detalladas relativas a las cookies y elegirá qué cookies autorizar.
7 ¿CÓMO DEBE REALIZARSE EL BANNER?
El responsable debe garantizar que el tratamiento concierna, para una configuración predefinida, únicamente a los datos necesarios para determinadas finalidades, limitando de este modo el tratamiento al mínimo indispensable para la navegación de los usuarios en el sitio. En el momento del primer acceso del usuario, por lo tanto, no podrá utilizarse ninguna cookie u otra herramienta de rastreo.
Posteriormente, podrá mostrarse un banner con dimensiones adecuadas a los distintos tipos de dispositivos utilizados. Sin obstaculizar el mantenimiento de las configuraciones predefinidas, este banner permitirá a quien lo desee dar su consentimiento.
El usuario que no quiera otorgarlo podrá simplemente cerrar el banner seleccionando la orden normalmente utilizada para ello (en general, un botón con una X situado en la parte superior derecha del banner).
8 ¿QUÉ INDICACIONES Y COMANDOS DEBE CONTENER EL BANNER?
El banner debe:
– especificar, en su caso, que el sitio utiliza cookies de perfilado, o incluso de «terceras partes», que permiten enviar mensajes publicitarios conformes a las preferencias del usuario;
– contener el enlace a la información detallada que deba proporcionarse y un área en la cual sea posible seleccionar de manera analítica las funcionalidades, las cookies y las terceras partes a las que se pretenda dar consentimiento;
– contener un comando para consentir aceptando todas las cookies u otras herramientas de rastreo;
– precisar que, si el usuario elige cerrar el banner utilizando el botón con la X en la parte superior derecha, se mantendrán las configuraciones predefinidas que no permiten el uso de cookies u otras herramientas de rastreo distintas de las cookies técnicas.
9 ¿CÓMO PUEDE DOCUMENTARSE LA OBTENCIÓN DEL CONSENTIMIENTO MEDIANTE EL USO DE LOS BANNERS?
Para conservar una traza del consentimiento, el responsable del tratamiento del sitio puede servirse de una cookie técnica especial, sistema no particularmente invasivo y que no exige un consentimiento posterior, así como de otras modalidades que permitan mantener actualizada la documentación de las elecciones de la persona interesada.
El usuario es libre de modificar fácilmente, en cualquier momento, sus opciones. A este respecto, conviene adoptar una precaución técnica (por ejemplo, un icono o un signo gráfico) que indique en todo momento el estado de los consentimientos anteriores del usuario.
10 ¿PUEDE VOLVER A MOSTRARSE EL BANNER EN CADA NUEVA CONEXIÓN AL SITIO?
No.
Si el usuario no ha dado su consentimiento o ha consentido únicamente la utilización de determinadas cookies, el banner no deberá volver a aparecer salvo en casos muy específicos:
a) cuando cambie una o varias condiciones del tratamiento, por ejemplo, las «terceras partes»;
b) cuando sea imposible para el proveedor de servicios saber si ya se ha colocado una cookie
técnica en el dispositivo del usuario (por ejemplo, en el caso de que el propio usuario elimine las cookies);
c) cuando hayan transcurrido al menos seis meses desde la visualización anterior del banner.
11 ¿PUEDE SOLICITARSE EL CONSENTIMIENTO EN LÍNEA PARA EL USO DE COOKIES ÚNICAMENTE A TRAVÉS DEL BANNER?
No.
Los responsables del tratamiento de los sitios siempre tienen la posibilidad de recurrir a otros medios distintos al identificado por la Autoridad de control en la decisión mencionada, siempre que los medios elegidos cumplan todas las condiciones de validez del consentimiento exigidas por la ley.
12 ¿ES NECESARIO EL BANNER DE COOKIES SI SOLO SE UTILIZAN COOKIES TÉCNICAS?
No.
En este caso, el responsable del tratamiento del sitio puede proporcionar la información a los usuarios por los medios que considere más apropiados, por ejemplo, mediante la inserción de indicaciones en la declaración de privacidad publicada en el sitio.
13 CONSENTIMIENTO MEDIANTE DESPLAZAMIENTO (SCROLLING)
No, el desplazamiento del cursor en la página no es adecuado para consentir. El desplazamiento podría, en su caso, constituir uno de los componentes de un proceso más elaborado que permitiera generar un evento informático apto para expresar una elección registrable, susceptible de ser documentada y sin ambigüedad.
14 ¿SE PUEDE DENEGAR EL ACCESO A UN SITIO SI EL USUARIO NO CONSENTIMIENTA EL USO DE COOKIES Y/O DE OTROS SISTEMAS DE RASTREO?
No, salvo en la hipótesis, a verificar caso por caso, en que el responsable del tratamiento del sitio, actuando en el respeto del principio de lealtad, dé a la persona interesada la posibilidad de acceder a un contenido o a un servicio equivalente sin otorgar su consentimiento.
15 ¿QUÉ DEBE MENCIONAR LA INFORMACIÓN DETALLADA?
– Todos los elementos previstos por la ley, la descripción analítica de las características y de las finalidades de las cookies instaladas por el sitio.
– Deben citar a los demás posibles destinatarios de los datos personales, los tiempos de conservación de la información y las indicaciones sobre la posibilidad y modalidades de ejercicio de los derechos de los usuarios en materia de protección de datos personales.
– Deben contener los criterios de codificación de las cookies u otras herramientas de rastreo utilizadas, en particular para distinguir entre cookies técnicas, analíticas y de perfilado.
16 ¿QUIÉN DEBE PROPORCIONAR LA INFORMACIÓN Y SOLICITAR EL CONSENTIMIENTO PARA EL USO DE COOKIES?
El responsable del tratamiento del sitio web que instala cookies de perfilado.
Para las cookies de terceros instaladas por el sitio, las obligaciones de información y de consentimiento corresponden a las terceras partes. Sin embargo, el responsable del tratamiento del sitio, en calidad de intermediario técnico entre dichos terceros y los usuarios, debe insertar en la información «detallada» los enlaces actualizados a las informaciones y formularios de consentimiento de las terceras partes.
LISTADO DE COOKIES
