POLÍTICA DE COOKIES
Siguiendo las directrices de la “Guía de Cookies” de la AEPD, aprobada en el mes de julio de 2020 y actualizada en julio de 2023, que resulta aplicable a prestadores de servicios de la sociedad de la información que instalen, a través de sitios web o en aplicaciones móviles, cookies o tecnologías similares cuyo uso requiera del consentimiento informado de los usuarios, se deberá solicitar el consentimiento del usuario siempre que se lleguen a instalar, en el dispositivo a través del que está navegando, cookies que no son estrictamente necesarias para permitir la comunicación entre el usuario y la red o para prestar un servicio requerido por el usuario. Por ejemplo, se sujetan a consentimiento las cookies – propias o de terceros – analíticas o de medición y las cookies de publicidad comportamental.
Respecto de las cookies exentas de dicha obligación de solicitar el consentimiento del usuario, como pueden ser las cookies técnicas, la AEPD recomienda en todo momento informar acerca de su uso por parte del sitio web o aplicación móvil.
¿Cómo cumplir con el principio de transparencia e información?:
La AEPD recomienda que la información sobre la utilización de cookies se facilite a través de un sistema de capas, si bien podrían emplearse otras vías para mostrar este tipo de información, como por ejemplo medios offline o informando al solicitar el alta en un servicio, la información por capas es la que mejor se ajusta a la finalidad informativa que se persigue.
La primera capa informativa (banner de cookies) deberá incluir la información esencial sobre el uso de cookies y la segunda capa (política de cookies completa) deberá facilitar el acceso a cada usuario al resto de la información exigida. La información se debe distribuir de la siguiente forma:
|
PRIMERA CAPA INFORMATIVA |
SEGUNDA CAPA INFORMATIVA |
|
a) Identificación del editor responsable del sitio web. |
a) Definición y función genérica de las cookies. |
|
b) Identificación de las finalidades de las cookies que se utilizarán. |
b) Información sobre el tipo de cookies que se utilizan y su finalidad. |
|
c) Identificación de si las cookies son propias (del responsable de la página web) o de terceros, sin necesidad de identificar a los terceros en esta capa. |
c) Identificación de quién utiliza las cookies. |
|
d) En el caso de que se elaboren perfiles de usuarios se deberá facilitar información genérica sobre el tipo de datos que se van a recopilar y utilizar para este perfilado (P. ej. cookies de publicidad comportamental). |
d) Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies. En su caso, información de como eliminar las cookies de terceros desde el navegador o el sistema habilitado por terceros cuando no sea posible hacerlo de otra forma. |
Debe aparecer un botón o mecanismo equivalente, fácilmente visible con las palabras “Aceptar”, “Aceptar cookies”, “Consentir” o texto equivalente para consentir el uso de todas las cookies.
Debe aparecer un botón o mecanismo equivalente, similar al anterior (Si se emplea un botón para aceptar, debe emplearse un botón para rechazar) con las palabras “Rechazar”, “Rechazar cookies” o textos similares para rechazar el uso de cookies (salvo aquellas que se encuentren exentas de la obligación de obtener consentimiento).
|
e) En su caso, información sobre las transferencias internacionales a terceros países realizadas por el editor del sitio web o de la aplicación móvil que emplean cookies de terceros, incluyéndose un enlace a la política de privacidad o información de cookies de esos terceros. (Google, Facebook, Microsoft, etc.) |
|
f) Enlace claramente visible dirigido a una segunda capa informativa en la que se incluya información más detallada (P.ej. política de cookies o Más información pulsa aquí). |
f) Cuando se elaboren perfiles que impliquen la toma de decisiones automatizadas con efectos jurídicos para los usuarios o que les afecten significativamente de modo similar, se deberá incluir información sobre la lógica utilizada, así como sobre la importancia y las consecuencias previstas. |
|
g) Enlace directo al panel de configuración de las cookies. |
g) Información sobre el período de conservación de los datos personales. |
|
|
h) El resto de la información exigida por el artículo 13 del RGPD (P. ej. derechos de los interesados) se podrá facilitar remitiendo a los usuarios a la política de privacidad |
La AEPD recomienda que la información sea lo más breve y sucinta posible para evitar la denominada “fatiga informativa” y debe evitarse el uso de expresiones confusas como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias que almacenan información sobre el comportamiento de los usuarios mediante el análisis de sus hábitos de navegación (realizar perfilados de usuarios).
¿Cómo cumplir con la obligación de obtener el consentimiento informado?
La guía de la AEPD recuerda que, en virtud del artículo 4 del RGPD, debe darse un consentimiento válido para cada finalidad específica por medio de una acción afirmativa claramente realizada por el usuario con plena conciencia de las consecuencias de dicha acción. Por ello deben tenerse en cuenta los siguientes aspectos:
▪ No servirá el consentimiento por inacción o por continuar la navegación en el sitio web.
▪ Debe implementarse un sistema para aceptar granularmente las cookies. El usuario debe tener la posibilidad de aceptar o rechazar todas las cookies o de seleccionar las finalidades concretas para las que puedan instalarse las cookies en su dispositivo. Esto se puede conseguir a través de un “Configurador de cookies o Consent Manager Platform”.
▪ Debe ser tan fácil de retirar como dar el consentimiento. En este sentido, en la primera capa informativa se debe de facilitar un botón para rechazar todas las cookies al mismo nivel que el de aceptarlas. Para satisfacer este requisito, igualmente en la segunda capa se podría implantar un botón para guardar la elección realizada por el usuario (debiendo indicarse expresamente que, si el usuario guarda su elección sin haber seleccionado ninguna cookie, esto equivaldrá al rechazo de todas las cookies).
▪ De igual modo, no se deberá proceder a la instalación de ninguna cookie no necesaria si el usuario no ha dado previamente su consentimiento.
Otras cuestiones relevantes sobre las cookies empleadas por sitios web o aplicaciones móviles:
Panel de configuración de las cookies: La información sobre las cookies de la primera capa se debe completar con un sistema o panel de configuración en el que el usuario pueda optar entre aceptar o no las cookies de forma granular, o un enlace que conduzca a dicho sistema o panel. El enlace o botón para administrar las cookies debe llevar al usuario directamente al panel de configuración, que podrá integrarse dentro de la segunda capa informativa. Para facilitar la gestión de cookies por parte del usuario, en dicho panel podrán implementarse dos botones: uno para aceptar todas las cookies y otra para rechazarlas todas, siendo esta opción recomendable cuanto mayor será el número distinto de cookies que se lleguen a utilizar.
Duración temporal de las cookies: La AEPD recomienda el uso preferente de cookies de sesión, en vez de cookies persistentes. En el caso de que fuese necesario utilizar cookies persistentes, se indica que su duración debe reducirse al mínimo necesario para alcanzar la finalidad de su uso.
Actualización del consentimiento: como buena práctica se debe implementar que la validez del consentimiento para el uso de una determinada cookie no tenga una duración superior a dos años (24 meses).
Retirada del consentimiento: Se debe permitir revocar el consentimiento de formar fácil y en cualquier momento. El sistema ofrecido para retirar el consentimiento debe ser tan sencillo como el utilizado para recabarlo. Se recomienda que la persona usuaria tenga acceso sencillo y permanente al sistema de gestión y configuración de cookies.
Cookies exentas del requisito del consentimiento informado: La AEPD establece, en su guía, el alcance exacto del artículo 22.2 de la LSSICE, según el cual las cookies solamente podrán ser utilizadas sin el consentimiento informado del usuario en el caso de que se trate de cookies denominadas como “técnicas”, dentro de este tipo de cookies estarían incluidas:
- Las que se utilicen con el único fin de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas.
- Las estrictamente necesarias para prestar un servicio que haya sido solicitado explícitamente por el usuario.
- Cookies de personalización sobre las que la persona usuaria tome decisiones al respecto (por ejemplo, elección del idioma de la web o la moneda en la que se realiza una transacción) se considerarán cookies técnicas exentas de la necesidad de recabar consentimiento.
En cambio, si es el editor el que toma las decisiones en nombre de la persona usuaria, basándose en la información que se obtiene de esta, deberá informar adecuadamente sobre ello y recabar el preceptivo consentimiento de la persona.
Sitios web dirigidos a menores de 14 años: Para sitios web cuyo usuario medio es un menor de catorce años, se exigirá a los editores que se realice un esfuerzo adicional para verificar que el consentimiento del usuario es facilitado por sus padres o tutores legales. Asimismo, habrán de tener en cuenta el principio de minimización de datos.
Posibilidad de denegación de acceso al servicio en caso de rechazo de las cookies (Muro de cookies): No podrá condicionarse el acceso a una web o acceso a servicios con la aceptación de la instalación de cookies. No obstante, podrán existir determinados supuestos en los que la no aceptación de las cookies impida el acceso total o parcial al sitio web y sus servicios, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies, alternativa que no tiene por qué ser necesariamente gratuita.