¿Qué son las cookies y cómo funcionan?
¿Qué son las cookies? Las cookies son archivos temporales que se instalan en el dispositivo del usuario que accede a páginas web, y que estas suelen utilizar con diversos fines, unas veces de identificación y otras para analizar el comportamiento o conducta del individuo al navegar por internet. Esencialmente, este tipo de archivos permiten conocer información del usuario de páginas web.
Junto a las cookies, existen otras tecnologías de almacenamiento de información (scripts, pixeles de seguimiento u otros complementos) que cumplen la misma finalidad.
¿Cómo funcionan las cookies? De forma general, las cookies se alojan en el dispositivo del usuario por el hecho de acceder a sitios web. Al regresar a dicho sitio, las cookies hacen que la página web pueda identificar el dispositivo del usuario y, por tanto, recordar cuáles fueron las interacciones entre este y el sitio web.
¿Cuáles son las obligaciones normativas aplicables al uso de cookies?
Para empezar, debemos decir que el uso de las cookies está regulado fundamentalmente en dos disposiciones legales. Por un lado, el artículo 22 de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (Ley 34/2002, de 11 de julio, más conocida por LSSI), en donde se permite el uso de las cookies o cualquier otro dispositivo de almacenamiento y recuperación de datos, siempre que el usuario haya dado su consentimiento informado para ello. Por otro, el Reglamento General de Protección de Datos (en adelante, RGPD) advierte en su Considerando 30 que cuando el uso de una cookie implique el tratamiento de datos personales, los responsables del tratamiento deberán asegurarse del cumplimiento de la normativa de protección de datos personales. Una cookie es un dato personal del individuo, ya que aporta información sobre él.
Sobre la base de estas disposiciones, los dueños de sitios web que utilicen cookies deben cumplir con dos obligaciones fundamentales: por un lado, la de transparencia, y por otro, la de obtención del consentimiento del usuario para su uso. La primera se traduce en el deber de informar al sujeto sobre la existencia de las cookies de forma concisa, transparente e inteligible. La segunda significa que el usuario debe consentir expresamente la instalación de estos archivos, pudiendo revocar dicho consentimiento en cualquier momento (salvo, en el caso de las cookies técnicas o necesarias).
Debe tenerse presente que existen distintos tipos de cookies, como: cookies técnicas, cookies analíticas, cookies de perfilado, etc. Es fundamental tener en cuenta que las cookies técnicas son las únicas que pueden implantarse en el dispositivo de un usuario sin su consentimiento por ser necesarias para el correcto funcionamiento del sitio web.
¿Qué es el banner (pop-up) de cookies?
Desde el punto de vista de protección de datos, el banner o pop-up de cookies es la primera capa informativa sobre el tratamiento de cookies que lleva a cabo un sitio web. En suma, el banner de cookies es un aviso o ventana emergente que aparece cuando entramos a una página web.
¿Cuáles son las novedades sobre el uso de cookies introducidas por la AEPD en su guía sobre cookies de 2023?
En febrero de 2023 el Comité Europeo de Protección de Datos (EDPB) publicó un Dictamen sobre los requisitos que debe incluir un banner de cookies. La AEPD actualizó en julio de 2023 la Guía sobre el uso de las cookies para adaptarla a dicho Dictamen, dando un plazo a los titulares de páginas web de seis meses para adaptarse a las exigencias de esta nueva Guía. El plazo terminó, justamente, el pasado 11 de enero.
En resumidas cuentas, los cambios que se incluyen son:
- Debe incluirse un botón de rechazo en el banner de cookies, junto con el de aceptación y configuración. Esta primera capa de información debe contener, pues:
- Un botón de ¨aceptar¨ para consentir el uso de las cookies.
- Un botón de ¨rechazar¨ para rechazar el uso de las cookies (salvo aquellas cookies técnicas o necesarias)
- Un botón de ¨configuración¨ o mecanismo visible que lleve o despliegue a un panel de configuración que permita al usuario aceptar o rechazar las cookies de forma manual, al menos en función de su finalidad.
- Estos botones deben tener la misma apariencia, lo que implica que deben tener las mismas características formales y visuales de cara al usuario (i.e. color, tamaño, altura, etc.). No puede ser más difícil rechazar las cookies que aceptarlas.
- Asimismo, como ya se establecía en la normativa anterior, las cookies no deben estar premarcadas. El consentimiento premarcado de cookies es una acción ilícita.
- Si el sitio web utiliza únicamente cookies técnicas, el banner de cookies deberá indicar ¨esta web únicamente utiliza cookies propias con finalidad técnica o necesaria¨. Recuérdese que este es el único supuesto en el que no es necesario obtener el consentimiento del usuario.
- ¿Cuáles son los pasos a seguir para un uso legal de las cookies?
Según lo expuesto, si queremos cumplir con la normativa sobre cookies, debemos seguir los siguientes consejos:
- El banner de cookies es la primera capa informativa de este tratamiento, la cual deberá cumplir con el deber de información conforme al RGPD.
- Asimismo, todos los banners de cookies de cualquier web deben incluir: (i) botón de ¨aceptar¨; (ii) botón de ¨rechazar¨, y (iii) botón o acceso al panel de configuración de cookies. Estos botones deben tener las mismas características (color, forma, tamaño, etc.).
- La opción de ¨aceptar¨ no puede estar en verde y la de ¨rechazar¨ sin color o en rojo. No puede ser más difícil retirar el consentimiento que darlo.
- En ningún caso son admisibles las opciones premarcadas a favor de aceptar cookies para obtener un consentimiento. Esto es una acción ilícita.
- Recuérdese que el único supuesto en el que no es necesario el consentimiento del usuario es para la aceptación de las cookies técnicas o necesarias.
A continuación, se adjuntan dos ejemplos de banner de cookies conformes con la normativa vigente:
Helena Rodríguez Martín
Consultora en Protección de Datos en PONS IP
¿Quieres saber más?