A día de hoy, uno de los principales problemas con los que se encuentran las empresas a la hora de cumplir con la normativa en materia de protección de datos y “seguridad en internet” se encuentra en su página web. Concretamente, dicho problema reside en la obligatoriedad de establecer un mecanismo que nos permita a los usuarios de dicha página web configurar las cookies[1].
Actualmente, la configuración de las cookies la podemos observar con mayor frecuencia en empresas grandes que se encuentran más implicadas en esta materia y tienen mayores recursos para proceder en tal sentido. Aun así, nos podemos encontrar con situaciones en que las empresas no entiendan el porqué de la necesidad de hacerlo, debido a que las cookies les otorgan un posicionamiento que perderían.
A continuación procederemos a contestar las preguntas más frecuentes:
¿Es necesario establecer mecanismos que permitan configurar las cookies?
Esta es una de las preguntas con la que más nos podemos encontrar en la actualidad. La respuesta debe de ser un rotundo sí. Ciertas autoridades de control[2] ya se han pronunciado al respecto donde indican el deber del titular de un sitio web a llevar a cabo esta configuración.
Sin entrar en detalle sobre las valoraciones que se hacen sobre la configuración de las cookies en cada Estado miembro de la Unión Europea[3], lo que queda claro es la necesidad de establecer la configuración de las cookies.
¿Desde cuándo es obligatorio establecer estos mecanismos de configuración?
Aunque ha adquirido una mayor transcendencia con la entrada en vigor del Reglamento General de Protección de Datos, o con los rumores que trae el neonato Reglamento E-Privacy, lo cierto es que ya se venía estableciendo en la anterior normativa en materia de protección de datos[4], en conjunción con la normativa de Servicios de la Sociedad de la Información y Comercio Electrónico[5], siendo esta última actualizada, cuando proceda, por el Reglamento E-Privacy.
¿Qué debo saber acerca de las cookies?
En caso de que la página web utilice cookies, se deberá informar debidamente a las personas que accedan a la página web en dos momentos:
1.- Un pop up o alerta que aparezca en el momento del primer acceso de la persona a la página web.
2.- Si a través de las cookies podemos recoger datos de personas físicas, se deberá dar la opción al interesado de aceptarlas o denegar la instalación de las cookies. El consentimiento deberá otorgarse como una opción afirmativa y positiva, y el rechazo de cookies debe suponer una opción real. Adicionalmente, estos registros se deberán conservar de manera segura para poder demostrar estos consentimientos frente a la autoridad de control.
3.- Se recomienda que en periodos máximos de doce (12) meses a contar desde la primera visita del usuario, se renueve el consentimiento.
4.- En la propia alerta informativa, se tiene que dar al usuario la posibilidad de desactivar las cookies (permitiendo su configuración). Asimismo, las cookies solo se deberán instalar una vez que el usuario haya aceptado el uso de las mismas.
Lo que en ningún caso se podría hacer es seguir navegando sin optar por ninguna de las opciones, debido a que el usuario no sabe realmente si se le han instalado las cookies (que es lo más seguro) o si por el contrario permanece en el sitio web sin que se le hayan instalado.
Hay que tener en cuenta que el Reglamento General de Protección de Datos requiere el consentimiento explícito cuando se lleven a cabo procedimientos de decisión totalmente automatizados.
Independientemente de lo que establezca el Reglamento E-Privacy (el cual sustituirá a la Directiva que transpuso a la LSSICE), como ya hemos indicado, la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, ya establece la obligación de informar al consumidor o usuario del uso de las cookies y que estas se consientan (art. 22.2 LSSICE). Dicha información tiene que aparecer en tres lugares claramente identificados, en los Términos y Condiciones de Uso de la Web o Aviso Legal, en la Política de Privacidad y en la Política de Cookies; adicionalmente, aplicando esta normativa únicamente, se tiene que establecer un pop up que permita aceptarlas o denegarlas, estableciéndose así la obligación de consentir las cookies del art. 22.2 de la LSSICE.
A este último supuesto (a las obligaciones de la LSSICE), hay que añadirle lo que se establece en el Reglamento General de Protección de Datos, que pese a ser una norma general frente a una ley especial, en este caso complementa a la LSSICE y por ello es necesario que se informe acerca del uso de las cookies:
a) Se tiene que hacer accesible al usuario la información sobre las cookies. Por ello se tiene que establecer un enlace en el pie de página o footer de la página web que redirecciones a la Política de Cookies.
b) Contenido que se debe de establecer:
1.- Qué son las cookies.
2.- Descripción de las cookies utilizadas en el sitio web.
3.- Cómo puedes configurar y deshabilitar las cookies en cada navegador.
4.- Plazos de conservación o actualización.
5.- Si se llevan a cabo transferencias internacionales especificarlo.
c) Las cookies se han de consentir, dicho consentimiento inequívoco, granular, revocable, informado y previo. Por tanto, en el pop up mencionado anteriormente, ya no solo vale con establecer un mecanismo de aceptación o denegación, sino que se habrá de informar de que cookies se instalan, para que se utilizan y la posibilidad de consentirlas o no, así como revocarlas cuando consideremos oportuno.
5.- En segundo lugar, se deberá poner un enlace a la política más extensa de cookies, colocado en el pie de página o footer (Política de Cookies).
¿La configuración afecta a todas las cookies?
El Grupo de Trabajo del Artículo 29, en su Dictamen 04/2012 sobre la excepción de consentimiento para cookies, aporta varios ejemplos sobre cookies exentas y no exentas que ayudan a entender lo anterior:
a) Las load-balancing cookies, es decir, aquellas que se usan para recabar datos que ayudan a regular, dividir y gestionar la congestión de los servidores, serían consideradas necesarias para la comunicación a través de la red, por lo tanto, exentas de la notificación de almacenamiento puesto que únicamente identifican un servidor, no una máquina cliente. De esta manera no contendrían datos personales. Por lo tanto, su procesamiento no involucra protección personal de datos y no necesita notificación de procesamiento.
b) Las cookiesque se usan para customizar la interfaz de usuario (por ejemplo, para indicar el idioma preferido o el formato de contenido) no requieren ningún identificador particular, por lo tanto, difícilmente constituirán información personal. Podrían, dependiendo de la persistencia, requerir notificación antes del almacenamiento.
c) Las cookiesusadas para ubicar “la navegación del usuario” (por ejemplo, contenidos del shopping cart) es posible que constituyan datos personales. Aunque estos están exentos de la notificación de almacenamiento, se necesitaría alguna base para su procesamiento bajo el RGPD. Llegados a este punto, la base obvia sería que el procesamiento es necesario para, o en respuesta de la petición del usuario, un contrato con el usuario (Art. 6.1 b RGPD).
¿Pero cómo puedo proceder a la configuración de las cookies en mi página web sin que me requiera un gran coste?
Dependerá del tipo de página web que tengamos. A día de hoy WordPress establece ciertos plugin que permiten la configuración de las cookies. En el caso de no utilizar este método hay ciertas herramientas que facilitan este procedimiento. Por ello, vamos a establecer dos variantes, la configuración a través de WordPress y la del resto de herramientas. Comenzaremos por esta última variante:
- Configuración de cookies a través de diversas herramientas.
Recomendamos la utilización de un sistema ágil y acorde al cumplimiento normativo acorde al RGPD y a la Ley de Servicios de Sociedad de la Información y Comercio Electrónico (LSSICE). Por ello recomendamos la utilización de los siguientes mecanismos entre otros:
1.- Cookiebot: accesibles desde el siguiente enlace:
href=»https://www.cookiebot.com/es/»>https://www.cookiebot.com/es/
2.- One Trust, accesible desde el siguiente enlace:
href=»https://www.onetrust.com/products/cookies/»>https://www.onetrust.com/products/cookies/
3.- Didomi: accesible desde el siguiente enlace:
href=»https://www.didomi.io/en/»>https://www.didomi.io/en/
También se puede establecer la programación de un centro de preferencias en la propia página web.
- Configuración de cookies a través de WordPress.
El repositorio/biblioteca de WordPress existen diversos plugins para la implementación de la alerta y configuración de las cookies. El modelo es análogo al anterior: ha de existir un mecanismo de alerta que permita la configuración de las cookies.
Para establecer tal configuración a través de WordPress aconsejamos la utilización del plugin “GDPR Cookie Consent”.
