Sin las cookies, internet no sería lo que es hoy. Juegan un papel esencial en la prestación de la mayoría de servicios online. Y, a la vez, tienen importantes implicaciones en la privacidad de los usuarios.
La reflexión no es propia, sino de la Agencia Española de Protección de Datos. La AEPD, junto a las asociaciones ADigital, Anunciantes, Autocontrol e IAB Spain, ha presentado su ’Guía sobre el uso de las cookies’. Un documento que llega para actualizar la primera guía sobre cookies que publicó la agencia en 2013. Desde entonces se ha legislado mucho sobre el uso de los datos personales. Así que, básicamente, la nueva guía recoge orientaciones, garantías y obligaciones para las empresas en el uso de las cookies.
De las limitaciones del sistema de cookies en el entorno actual de internet ya hemos hablado antes. Así como de la necesidad de un sistema más transparente y estandarizado como el que proponía el Internet Advertising Bureau (IAB), cuya filial española colabora también en la guía de la AEPD. El documento de la agencia se puede resumir en tres palabras: transparencia, información y consentimiento. Pero vamos con los pormenores.
[hde_related]
El objetivo de la guía de cookies de la AEPD
La Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSI) y sus muchas actualizaciones. El Reglamento de la Unión Europea 2016/679 o reglamento general de protección de datos (RGPD). La Ley Orgánica 3/2018 de protección de datos y garantía de los derechos digitales (Lopdgdd).
Estas tres normativas establecen los límites en el uso de los datos personales y la guía de la AEPD pretende orientar a las empresas sobre su cumplimiento. Y no es fácil.
“Dadas las múltiples complejidades que plantea el uso de las cookies, las orientaciones aquí recogidas no pretenden ofrecer una solución general y uniforme para el cumplimiento de la ley, sino que deben servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio”, señala el documento.
Las pautas que señala la guía de la AEPD aplican a todo tipo de cookies utilizadas para almacenar y recuperar datos. También sirven, de hecho, para otras tecnologías similares como local shared objects, web beacons o cualquier tecnología biométrica instalada en los dispositivos. Sin embargo, quedan excluidas las llamadas cookies técnicas (de entrada de usuario, de seguridad o de inicio de sesión, entre otras).
Las recomendaciones de la AEPD
El usuario siempre debe dar consentimiento antes de que cualquier sitio web o plataforma instale cookies en su dispositivo. Partiendo de esta base, la guía de la AEPD recuerda que dicho consentimiento debe ser informado y la información proporcionada debe ser transparente.
Y es que la transparencia de la información es clave. La política de cookies ya no podrá ocultarse bajo frases confusas o un lenguaje enrevesado. Deberá ser inteligible, clara y directa. Y deberá incluir la función de la cookie, los datos que almacena y para qué propósito, la posibilidad de que la información vaya a terceros países o empresas o el periodo de conservación de los datos. Es decir, las cookies deben tratarse como parte esencial de la política de protección de datos personales de la empresa.
En este sentido, la guía de la AEPD establece que el consentimiento del usuario debe ser explícito. Y propone varias modalidades para recabar dicho consentimiento:
- Al solicitar el alta en un determinado servicio. En este caso, debe solicitarse la aceptación por separado y no como parte de los términos generales de uso.
- Durante la configuración de la web o app.
- A través de plataformas de gestión del consentimiento.
- Antes de la descarga de un servicio o aplicación (vídeo, imagen, juego…). Deberá informarse al usuario de que la solicitud de descarga requiere la aceptación de la política de cookies.
- A través de lo que la AEPD llama formato de información por capas. Esto es, la política de cookies debe estar visualmente reflejada en dos capas. Una en la que se incluye cierta información identificativa y la petición del consentimiento para la utilización de las cookies. Y una segunda capa donde aparece detallada la política de cookies.
- A través de la configuración del navegador. En este caso, el consentimiento debe obtenerse por separado para cada uno de los fines previstos.
Para que sea considerado un consentimiento válido, la guía incluye botones de aceptar, rechazar o configurar las cookies. También admite la opción de “seguir navegando”. Es decir, si el usuario continua usando el servicio se considerará en ciertos supuestos que ha aceptado la política de cookies. En este caso, deberá insertarse un aviso explícito en un lugar claramente visible.
Por último, la guía de cookies de la AEPD especifica que siempre deberá ponerse a disposición del usuario un documento o panel de configuración en el que se puedan habilitar o no las cookies de forma granular. Aunque no especifica el grado de granularidad, sí que establece que las cookies deberán estar agrupadas, al menos, por finalidad. Por ejemplo, podrán desactivarse las publicitarias, pero dejar habilitadas las de personalización.
Para concluir, la AEPD también se moja en cuanto a la validez del consentimiento y la conservación de las cookies. Según la agencia, es una buena práctica que el consentimiento para el uso de una determinada cookie no se considere válido pasados los dos años. Y que, durante esos 24 meses, se conserven las preferencias señaladas por el usuario en un principio.
Así que, en definitiva, transparencia y claridad en la información y consentimiento expreso. Dos de los principios fundamentales que emanan del reglamento general de protección de datos y que deberán estar muy presentes en la política de cookies de cada web, plataforma, app o servicio. Todos los detalles, en la ‘Guía sobre el uso de las cookies’ de la AEPD.
Imágenes | Unsplash/Anastasiia Ostapovych, Campaign Creators, Yullina D