Protección de datos: Claves de la nueva Guía sobre el Uso de Cookies

El pasado mes de noviembre la AEPD (Agencia Española de Protección de Datos) presentó la nueva guía sobre el uso de cookies. Se trata de fijar unas directrices acordes con la normativa aplicable, el RGPD y la LOPDGDD, donde además se recogen responsabilidades y obligaciones en la gestión y el tratamiento de la información. ¿Te interesa conocer sus principales implicaciones? ¿Qué debes tener en cuenta en tu sitio web si estás almacenando algún tipo de dato?

Guía sobre el Uso de Cookies

5 puntos esenciales de la nueva Guía sobre el Uso de Cookies

Esta guía de cookies se estructura en cuatro apartados y establece nuevos requisitos de información y transparencia adaptados a las actuales normativas de protección de datos. Sus principales novedades han sido:

1. La base legal es el consentimiento y es necesario tanto para cookies propias como de terceros. Las formas de consentimiento son:

  • Consentimiento explícito (con los clásicos botones de aceptar y rechazar), siendo especialmente relevante para el tratamiento de datos que estén encuadrados dentro de las categorías especiales como son: origen étnico o racial, las opiniones políticas, orientación sexual, religión, afiliación sindical, datos genéticos, datos biométricos, etc..
  • Consentimiento inequívoco: donde continúa siendo válida la fórmula de seguir navegando siempre que sea una clara acción afirmativa y se refuerza con mayor transparencia, así como que se acompañe de un panel para configurar y rechazar las cookies.

2. Siempre que el uso de cookies conlleve aparejado el tratamiento de datos personales (por ejemplo: por nombre, email o identificadores únicos) se deberá cumplir con la normativa que resulte de aplicación en materia de protección de datos. Por lo tanto, se sigue aplicando la LSSI (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico), pero hay que adaptarse al RGPD (Reglamento General de Protección de Datos) y la LOPDGDD (Ley de Protección de Datos y Garantía de los Derechos Digitales).

Así pues, si existe tratamiento de datos personales, la información sobre cookies debe completarse con la exigida por dichas normas, aunque parte de esa información puede facilitarse por remisión a la política de privacidad.

3. Será necesario el consentimiento informado para cada una de las cookies que tengan diferente finalidad. Por lo tanto, es necesario que el usuario pueda consentir las cookies de forma granular, es decir, selectiva (por ejemplo, si un sitio web utiliza cookies analíticas y publicitarias, debe poder escoger si acepta un tipo de cookies, los dos o ninguno).

Hay que destacar que la guía incluye nuevos ejemplos de cookies exentas (por ejemplo, las que permiten la gestión de espacios publicitarios exclusivamente como un elemento más de diseño, sin personalizar la publicidad).

4. Se debe facilitar información de forma transparente, clara y completa sobre todos los fines del tratamiento. Es ineludible mostrar toda la información, y por supuesto tener el consentimiento, antes de la instalación y uso de las cookies. Y, por tanto, la información debe ser suficientemente completa para que los usuarios entiendan las finalidades para las que van a ser utilizadas, evitando términos que induzcan a confusión.

5. La información se puede dar por capas, proporcionándose la información esencial en la primera capa y desarrollándola en una segunda capa con información más detallada. La información de la primera capa se podrá completar con un sistema en el que el usuario pueda optar entre habilitar o no las cookies, o, en su defecto, en un enlace que conduzca a dicho sistema.

Si se elaboran perfiles (por ejemplo, para fines de publicidad comportamental), hay que informar de ello desde la primera capa. Además, si existen decisiones individuales automatizadas (artículo 22, del RGPD), los requisitos de información y consentimiento se endurecen.

¿Qué más se especifica? Otras consideraciones

La nueva guía sobre el uso de cookies, además, establece quién tiene la responsabilidad de esa información, teniendo todos los intervinientes que colaborar en el cumplimiento de la normativa.

Tanto el editor y los terceros tienen responsabilidad de informar al usuario sobre las finalidades y obtener el consentimiento. La responsabilidad no podrá ser desplazada contractualmente, el/los que determinen los fines y medios son responsables de aquellos tratamientos que realicen y cada responsable responderá del tratamiento concreto, siendo válida la figura de la corresponsabilidad.

Como anotación, en cuanto a los menores, la guía ofrece pautas para verificar el consentimiento de padres o tutores en distintos escenarios. Además, recomienda evitar la elaboración de perfiles de menores con fines publicitarios.

¿Más información? Puedes encontrar la guía aquí.

¿Aún te quedan dudas? No dudes en dejarnos tus comentarios.

Abogado con más de 15 años de experiencia en multinacionales, consultoras, despachos y sector público. Apasionado de las tecnologías, Daniel cuenta con una visión 360 de las tecnológicas y de sus relaciones con el derecho. Actualmente está trabajando como Head of Legal de Havas Group en España.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *