¿Cómo deben colocarse las cookies en la página web?
La Agencia Española de Protección de Datos (en adelante “AEPD”) publicó en este mes de julio de 2023 una guía sobre el uso de cookies, que contiene nuevas directrices sobre el correcto uso de esta tecnología y en especial, sobre la forma de recogida del consentimiento de los usuarios.
Esta guía se basa en lo establecido en el Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (en adelante, LOPDGDD), y el Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSI).
En este artículo te ofrecemos un resumen de las obligaciones más importantes. Estas no son todas las obligaciones, por lo que si quieres cumplir íntegramente la ley, debes solicitarnos una revisión de tu web para que podamos evaluar tu cumplimiento de manera particular, enviadnos un email a: info@umbraconsulting.es.
Cookies exceptuadas de la obligación de pedir consentimiento al usuario
De acuerdo con el criterio del grupo de trabajo del artículo 29, existen determinados tipos de cookies que están exceptuadas de la obligación de informar y recabar consentimiento de los usuarios, aunque, por razones de transparencia se recomienda informar, al menos con carácter genérico, de la existencia de las mismas. Las cookies exceptuadas son:
- Cookies de “entrada del usuario”
- Cookies de autenticaciónón o identificación de
- usuario (únicamente de sesión).
- Cookies de seguridad del usuario13.
- Cookies de sesión de reproductor multimedia.
- Cookies de sesión para equilibrar la carga.
- Cookies de personalización de la interfaz de usuario.
- Determinadas cookies de complemento
- (plug-in) para intercambiar contenidos sociales.
Obligaciones legales por el uso de cookies
- Obligación de informar al usuario sobre la existencia de las cookies: Debe ofrecerse información clara y sencilla, recomendable en dos capas, es decir, una primera capa en un banner informativo que salten en el acceso a la página web, y una segunda capa más detallada que pueda consultarse mediante un enlace en el propio banner y un enlace que siempre permanezca activo y visible en la página web.
No es recomendable mezclar la política de cookies con la política de privacidad, ya que cada una debe destacar por su importancia, como texto individual. Si la web se dirige a un niño menor de 14 años, debe adaptarse el lenguaje de la misma al tipo de público y deben realizarse esfuerzos razonables para comprobar que el consentimiento, cuando procede, ha sido otorgado por su tutor legal o titular de la patria potestad. Existen vías sencillas para acreditar estos esfuerzos, si es tu caso, pregúntanos.
- Solicitar el consentimiento para uso de cookies no exceptuadas: Es preciso preguntar al usuario si acepta las cookies, si las rechaza, o si desea configurarlas o decidir cuales acepta y cuales no. Este consentimiento debe pedirse antes de activar las cookies, excepto las necesarias o técnicas que están exceptuadas y que deben activarse para hacer funcionar la web.
Es clave que en ese banner se dé la opción de rechazarlas todas, de lo contrario se estaría dificultando el proceso y ese consentimiento no cumpliría los requisitos. Un banner que solo da opción de aceptar y configurar no cumple íntegramente.
A continuación, te mostramos un ejemplo de banner informativo que cumple estas recomendaciones:
Como regla general, siempre que un consentimiento haya sido obtenido de forma válida, no será necesario obtenerlo cada vez que un usuario visite de nuevo la misma página web desde la que se presta el servicio.
No sería correcto expulsar al usuario de la web si rechaza las cookies, o negarle los servicios, ya que esto apuntaría a un consentimiento que no se otorga libremente y al ejercicio de presión sobre el usuario para que acepte, por lo que sería un incumplimiento.
Sanciones por incumplimiento en relación al uso de cookies
El RGPD contiene importantes sanciones por incumplimiento de la protección de datos. Cuando se tipifiquen infracciones relacionadas con el uso de cookies no exceptuadas, es decir, las cookies que usan datos personales, es lógico que nos podamos enfrentar a sanciones.
Aunque está previsto que las sanciones puedan llegar hasta los 20 millones de euros, hemos visto hasta el momento resoluciones que sancionan en relación con incorrecto uso de cookies cuyas multas están entre los 1500€ y los 30.000€.
Si deseas que evaluemos el cumplimiento de protección de datos en tu página web, contáctanos en info@umbraconsulting.es