Artículos de 2017
Artículos de 2016
Artículos de 2015
Artículos de 2014
Artículos de 2013
Artículos de 2012
Artículos de 2011
Artículos de 2010
Artículos de 2009
Artículos de 2008

Uso de "cookies" en la web


En relación a la obligación de informar de la existencia de cookies en la página de Internet en caso de que se guarden las cookies para una posterior utilización y como consecuencia del Informe de la Agencia Española de Protección de Datos (AEPD) al respecto, cabe indicar lo siguiente:

Las cookies son herramientas que tienen un papel esencial para la prestación de numerosos servicios de la sociedad de la información que concentran la mayor inversión publicitaria, facilitan la navegación del usuario y ofrecen una publicidad basada en ocasiones en los hábitos de navegación.

Al mismo tiempo, debe tenerse presente que la utilización de las cookies, en la medida en que supone la descarga de un archivo o dispositivo en el equipo terminal de un usuario con la finalidad de almacenar y recuperar datos que se encuentran en el citado equipo, tiene implicaciones importantes en relación con su privacidad.

Mediante la utilización de los dispositivos de almacenamiento y recuperación de datos, como cookies u otros, los prestadores de servicios obtienen datos relacionados con los usuarios que posteriormente podrán ser utilizados para la prestación de los servicios concretos, para enviar publicidad o como base para el desarrollo de mejoras o nuevos productos y servicios en ocasiones gratuitos. Esta circunstancia determina la necesidad de implantar un sistema en el que el usuario sea plenamente consciente de la instalación de aquellos dispositivos y de la finalidad de su utilización, siendo en definitiva conocedores del destino de los datos que estén siendo utilizados y las incidencias que este sistema implica en su privacidad. Por ello, la nueva regulación comunitaria y nacional requiere la obtención de un consentimiento informado con el fin de asegurar que los usuarios son conscientes del uso de sus datos y las finalidades para las que son utilizados.

A la hora de determinar el nivel de detalle en la información que se debe proporcionar sobre las cookies, así como la forma en la que debe obtenerse el consentimiento para su instalación y utilización, debe tenerse una referencia clara acerca del nivel de comprensión de los usuarios en relación a las mismas.

 

1. ALCANCE DE LAS NORMAS

El artículo 22.2 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) establece que “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

Así pues, el artículo 22 de la LSSI se refiere a la instalación de cookies y tecnologías similares utilizadas (tales como local shared objects o flash cookies, etc.) para almacenar y recuperar datos de un equipo terminal (por ejemplo, un ordenador, un teléfono móvil o una tablet) de una persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información.

Cuando la instalación y/o utilización de una cookie conlleva el tratamiento de datos personales, los responsables de tal tratamiento deberán asegurarse del cumplimiento de las exigencias adicionales establecidas por la normativa sobre protección de datos personales, en particular en relación con los datos especialmente protegidos. Y recordar también a necesidad de adoptar cautelas adicionales en este ámbito, en relación con los menores de edad.

Sin embargo, quedan exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI las cookies utilizadas para alguna de las siguientes finalidades:

a) Permitir únicamente la comunicación entre el equipo del usuario y la red.
b) Estrictamente prestar un servicio expresamente solicitado por el usuario, es decir,

 

  • Cookies de «entrada del usuario»
  • Cookies de autenticación o identificación de usuario (únicamente de sesión) 
  • Cookies de seguridad del usuario
  • Cookies de sesión de reproductor multimedia 
  • Cookies de sesión para equilibrar la carga 
  • Cookies de personalización de la interfaz de usuario 
  • Cookies de complemento (plug-in) para intercambiar contenidos sociales

 

Para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello es mucho más probable que se consideren como exceptuadas las cookies de sesión que las persistentes. En todo caso, deberá tenerse en cuenta que una misma cookie puede tener más de una finalidad, por lo que existe la posibilidad de que mientras para una finalidad o tratamiento la cookie quede exceptuada del ámbito de aplicación del artículo 22.2 de la LSSI, no lo esté para otras finalidades, quedando sujetas al ámbito de aplicación de dicho precepto.

 

2. TERMINOLOGÍA Y DEFINICIONES

La LSSI es aplicable a cualquier tipo de archivo o dispositivo que se descarga en el equipo terminal de un usuario con la finalidad de almacenar datos que podrán ser actualizados y recuperados por la entidad responsable de su instalación y que se clasifican de la forma siguiente:

 

a) Tipos de cookies según la entidad que las gestione:

Según quien sea la entidad que gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos distinguir:

 

Cookies propias: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.

Cookies de tercero: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.

 

b) Tipos de cookies según el plazo de tiempo que permanecen activadas:

Según el plazo de tiempo que permanecen activadas en el equipo terminal podemos distinguir:

 

Cookies de sesión: Son un tipo de cookies diseñadas para recabar y almacenar datos mientras el usuario accede a una página web.
Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión.

Cookies persistentes: Son un tipo de cookies en el que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

 

c) Tipos de cookies según su finalidad:

 

Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.

Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.

Cookies de análisis: Son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

 

3. DEBER DE INFORMACIÓN

 

Qué información debe facilitarse:

El artículo 22.2 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Por consiguiente, la información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender la finalidad para las que se instalaron y conocer los usos que se les darán.

En el caso de que un usuario preste su consentimiento para el uso de cookies, la información sobre cómo revocar el consentimiento y eliminar las cookies deberá de estar a su disposición de forma accesible y permanente.

 

Cómo debe mostrarse esa información:

Con el objetivo de garantizar una información adecuada, existen dos requisitos que afectan por un lado, a la calidad de la información y, por otro lado, a la accesibilidad y visibilidad de la misma.

En primer lugar en relación con la calidad de la información facilitada se recomienda tener en cuenta que el usuario medio al que se dirige esa página web no es un técnico, debe adecuarse el lenguaje y el contenido de los mensajes partiendo de los aspectos más básicos de qué son las cookies y cómo funcionan.

En segundo lugar, en relación con la accesibilidad y visibilidad de la información sobre cookies se puede potenciar a través de la utilización de una denominación descriptiva como por ejemplo “Política de cookies”, en lugar de una expresión más general como “Política de privacidad” para mejorar la accesibilidad y visibilidad del mensaje con un enlace sobre el que se pueda hacer clic para obtener más información.

Con estos medios no sólo se suministrará la información necesaria, sino que también se podrá solicitar el consentimiento del usuario para la instalación de los dispositivos.

Entre los métodos más comunes destacamos:

 

a) El suministro de información a través de una barra de encabezamiento o en el pie de página, de forma suficientemente visible.

 

b) Al solicitar el alta en un servicio, o antes de descargar un servicio o una aplicación, podrá suministrarse esta información junto con la política de privacidad, o en los términos y condiciones de uso del servicio.

 

A fin de mantener la visibilidad de la información sobre las cookies, ésta deberá de ser destacada y separada (mediante un hiperenlace distinto, por ejemplo) del resto de de la información sobre términos y condiciones de uso o política privacidad.

En caso de que sea necesario obtener el consentimiento para la instalación de las cookies por parte de usuarios ya registrados (es decir, que ya están dados de alta en el servicio) habrá que informarles de manera verificable sobre los cambios realizados en relación con el tratamiento de las cookies y de que en caso que continúen utilizando el servicio se entenderá que consienten la instalación de las mismas.

En ambos supuestos también será posible suministrar la información y obtener el consentimiento a través de medios convencionales (off-line), siempre y cuando, quede constancia de que los usuarios han sido informados individualmente y han facilitado su consentimiento.

 

4. OBTENCIÓN DEL CONSENTIMIENTO

 

El consentimiento como base para el cumplimiento de la normativa.

Para la instalación y utilización de las cookies no exceptuadas será necesario en todo caso obtener el consentimiento del usuario. Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares. También podrá obtenerse infiriéndolo de una determinada acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies. En todo caso la mera inactividad del usuario no implica la prestación del consentimiento por sí misma.

 

Para que dicho consentimiento sea válido será necesario que el que consentimiento haya sido otorgado de forma informada. Por tanto, es necesario tener en cuenta:

 

1. Que las modalidades de prestación del consentimiento pueden ser variadas. La obtención del consentimiento a través de un “click” del usuario o de una conducta similar no cabe duda de que facilitará la prueba de que se ha obtenido. Esta fórmula puede ser más apropiada para usuarios registrados. La obtención del consentimiento que se infiere de una conducta de los usuarios es admisible, pero puede presentar mayores dificultades de prueba sobre su obtención. Esto dependerá, fundamentalmente, de la claridad y accesibilidad de la información que se le haya ofrecido para obtenerlos.

 

2. Que el usuario deberá haber realizado algún tipo de acción consciente y positiva de la cual pueda inferirse el consentimiento del usuario.

 

3. Que el usuario tendrá que haber sido informado previamente y con claridad de qué concreta acción suya será interpretada en el sentido de que acepta la instalación y utilización de las cookies.

 

4. Que el usuario, en todo caso, podrá negarse a aceptar las cookies, incluso en aquellos casos en los que como consecuencia de tal negativa la funcionalidad de la página web quede limitada o no sea posible.

 

Quién debe prestar el consentimiento:

De conformidad con el artículo 22.2 de la LSSI el consentimiento debe ser prestado por los “destinatarios” de los servicios de la sociedad de la información, que no son otros que los usuarios.

 

Modalidades de obtención del consentimiento:

La determinación de qué método será apropiado para obtener el consentimiento para usar cookies dependerá del tipo de cookies que se van a instalar, de su finalidad, y de si son propias o de terceros. En este sentido, debe indicarse si el consentimiento se presta sólo para la página web en la que se está solicitando o si se facilita también para otras páginas web del mismo editor o incluso para terceros asociados al editor en el marco de las finalidades de las cookies sobre las que se ha ofrecido información.

Caben, entre otros, los siguientes mecanismos de obtención del consentimiento:

 

a) A través de la aceptación de los “Términos y condiciones de uso de la página web” o de su “Política de privacidad” al solicitar el alta en un servicio.

 

b) Otra posible forma de prestación del consentimiento para la instalación de las cookies es a través de la aceptación de los términos o condiciones de uso y/o de la política de privacidad de la página web en el momento en que un usuario solicita el alta en un Servicio.

 

5. CUÁNDO PUEDEN INSTALARSE LAS COOKIES

Respecto al momento en el que hay que obtener el consentimiento para la instalación de la cookie debe recordarse que el artículo 22 de la LSSI señala que: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.”

 

En consecuencia, la instalación de la cookie podrá tener lugar cuando el usuario disponga de la información preceptiva sobre las cookies y la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos indicados. En este sentido, la instalación de las cookies debería ir acompañada por un consentimiento informado de los usuarios para tal instalación, de forma que los destinatarios tengan la oportunidad de examinar la información y decidir si permiten o no la implantación de estos dispositivos.

.