Cookie Policy
DISPOSICIÓN DE LA AUTORIDAD PARA LA PROTECCIÓN DE LOS DATOS PERSONALES: FICHA DE RESUMEN DE LA DISPOSICIÓN N.° 231 DEL 10 DE JUNIO DE 2021 «COOKIES: NUEVAS DIRECTRICES PARA PROTEGER A LOS USUARIOS»
Con la Disposición del pasado mes de junio, la Autoridad para la protección de los datos personales ha querido recopilar y actualizar todas las indicaciones reglamentarias en materia de cookies y/u otros sistemas de seguimiento de la persona que utiliza herramientas tecnológicas para la navegación web.
El punto central es el cumplimiento de los principios de accountability, privacy by design y privacy by default que se resumen en permitir al usuario un uso cada vez más consciente y fortalecer su poder de decisión cuando navega por Internet.
De acuerdo con la Disposición de la Autoridad, cada responsable del sitio web tiene 6 meses para adaptarse a las directrices.
En el siguiente esquema se encuentran las principales preguntas y respuestas que permiten una correcta gestión de la política de cookies de cada sitio web.
1 Definición de cookies
Son cadenas de texto que los sitios web visitados por los usuarios (llamados Publisher o «primeros pasos») o sitios o servidores web diferentes (llamados «terceros») posicionan y almacenan dentro del dispositivo terminal del usuario, para que luego se retransmitan a los mismos sitios en la siguiente visita.
2 ¿Para qué se utilizan las cookies?
Se utilizan para diferentes propósitos como:
a) ejecución de la autenticación informática;
b) supervisión de sesiones;
c) almacenamiento de información sobre configuraciones específicas relativas a los usuarios que acceden al servidor;
d) almacenamiento de preferencias, o para facilitar el uso de los contenidos en línea (por ejemplo, para realizar un seguimiento de los artículos en un carrito de compras o de la información para completar un formulario informático, etc.);
e) para perfilar al usuario (es decir, «observar» su comportamiento, por ejemplo, enviar publicidad dirigida, medir la efectividad del mensaje publicitario y adoptar consiguientes estrategias comerciales), llamadas cookies de perfil.
El mismo resultado también se puede lograr a través de otras herramientas o técnicas de seguimiento, entre las que se encuentra el fingerprinting.
3 ¿Qué son las cookies técnicas?
Son las cookies que se utilizan para realizar la navegación o para prestar un servicio solicitado por el usuario. No se utilizan para otros fines y por lo general son instaladas directamente por el responsable del sitio web.
Sin estas cookies, algunas operaciones no podrían realizarse o serían más complejas y/o menos seguras como, por ejemplo, las actividades de home banking (ver estados de cuenta, realizar transferencias bancarias, pagar facturas, etc.), por lo que las cookies, que permiten realizar y mantener la identificación del usuario durante la sesión, son indispensables.
4 ¿Las cookies analíticas son cookies técnicas?
No.
La Autoridad ha especificado que pueden asimilarse a las cookies técnicas si se utilizan para fines de optimización del sitio web directamente por el responsable del sitio mismo, que podrá recopilar información estadística de forma completa sobre el número de usuarios y sobre cómo estos visitan el sitio.
Si, en cambio, el procesamiento de estos análisis estadísticos se confía a terceros, los datos del usuario deben minimizarse de antemano y no podrán combinarse con otro procesamiento ni transmitirse a otros terceros. En estas condiciones, para las cookies analíticas se aplican las mismas reglas, en términos de información y consentimiento, que las establecidas para las cookies técnicas.
A modo de excepción, también se autoriza tanto a la primera parte a proporcionar por sí misma, como a la tercera parte a actuar por mandato de la primera, la producción de estadísticas con datos relacionados con varios dominios, sitios web o aplicaciones atribuibles al mismo responsable o grupo empresarial.
5 ¿Siempre se requiere el consentimiento para la instalación de cookies en el terminal?
Depende de los fines para los que se utilizan las cookies y, por lo tanto, si son cookies «técnicas» o «de perfil».
No se requiere el consentimiento del usuario para la instalación de cookies técnicas y analíticas, pero siempre es necesario informar (art. 13 del Reglamento UE 2016/679).
Las cookies de perfil o las otras herramientas de seguimiento, en cambio, solo se pueden utilizar si el usuario ha expresado su consentimiento luego de ser informado de forma simple.
6 ¿Cómo emitir la nota informativa simplificada sobre las cookies y el consentimiento para las cookies de perfil?
Según lo establecido por la Autoridad, la nota informativa debe estar configurada en varios niveles y mostrarse en varios canales, adoptando todas las medidas necesarias para hacerla accesible sin discriminación incluso a las personas con discapacidad.
Respetando el principio de accountability, la Autoridad, sin embargo, sugiere la adopción de un mecanismo por el que, en el momento en que el usuario entra a un sitio web (a la página de inicio o a cualquier otra página), aparezca de inmediato un aviso que contenga una primera información «breve», la solicitud de consentimiento para el uso de cookies y un enlace para acceder a la información más «extensa».
En esta página, el usuario podrá encontrar información adicional y más detallada sobre las cookies y elegir qué cookies específicas autorizar.
7 ¿Cómo se debe realizar el aviso?
El responsable debe garantizar que, por configuración predeterminada, solo se procesen los datos necesarios para lograr fines específicos, es decir, limitar el tratamiento al mínimo indispensable para permitir a los usuarios navegar por el sitio; en consecuencia, en el momento del primer acceso del usuario, no se podrá utilizar ninguna cookie u otra herramienta de seguimiento.
Luego podrá aparecer un aviso de tamaño apropiado para los diferentes tipos de dispositivos utilizables que, si bien no impide el mantenimiento de la configuración predeterminada, permite a quien lo desea expresar su consentimiento.
El usuario que no tenga la intención de dar su consentimiento simplemente cerrará el aviso seleccionando la opción adecuada que normalmente se usa para este propósito (por regla general, un botón con una X ubicado en la parte superior derecha del aviso).
8 ¿Qué indicaciones y opciones debe contener el aviso?
El aviso debe:
- especificar, en su caso, que el sitio utiliza cookies de perfil, posiblemente también de «terceros», que permiten enviar mensajes publicitarios en línea con las preferencias del usuario;
- contener el enlace a la información extensa y a un área diferente en la que sea posible seleccionar de forma analítica solo las características, las cookies y los terceros a los que se pretende dar consentimiento;
- contener una opción para expresar consentimiento aceptando todas las cookies u otras herramientas de seguimiento;
- especificar que si el usuario elige cerrar el aviso utilizando el botón con la X en la parte superior derecha, se mantendrá la configuración predeterminada que no permite el uso de cookies u otras herramientas de seguimiento diferentes a las técnicas.
9 ¿Cómo se puede documentar la adquisición del consentimiento realizada mediante el uso de avisos?
Para realizar un seguimiento del consentimiento adquirido, el responsable del sitio puede utilizar una adecuada cookie técnica, sistema que no es particularmente invasivo y que no requiere más consentimiento, así como otros métodos que permitan mantener siempre actualizada la documentación de las elecciones del interesado.
Permanece la posibilidad de que el usuario modifique, en cualquier momento y de forma fácil, sus elecciones. En este sentido, es una buena práctica adoptar una medida técnica (por ejemplo, un icono o un signo gráfico) que indique en todo momento el estado de los consentimientos previamente dados por el usuario.
10 ¿Se puede volver a proponer el aviso en cada acceso al sitio luego del primero?
No.
Si el usuario no ha dado su consentimiento o lo ha dado solo para el uso de ciertas cookies, el aviso no se debe volver a presentar, excepto en casos específicos:
a) cuando cambian de forma significativa una o más condiciones del tratamiento, por ejemplo los «terceros»;
b) cuando es imposible que el proveedor sepa si ya se ha colocado una cookie técnica en el dispositivo del usuario (por ejemplo, en el caso de que el usuario elimine las cookies);
c) cuando han pasado al menos seis meses de la anterior presentación del aviso.
11 ¿El consentimiento en línea para el uso de cookies se puede solicitar solo a través de avisos?
No.
Los responsables de los sitios web siempre tienen la posibilidad de recurrir a métodos diferentes de los identificados por la Autoridad en la disposición indicada con anterioridad, siempre que los métodos elegidos presenten todos los requisitos de validez del consentimiento requeridos por la ley.
12 ¿Es necesario el aviso de cookies incluso si solo se utilizan cookies técnicas?
No.
En este caso, el responsable del sitio puede proporcionar la información a los usuarios de la manera que considere más adecuada, por ejemplo, incluso insertando las indicaciones correspondientes en la política de privacidad indicada en el sitio.
13 Consentimiento mediante desplazamiento
No, el desplazamiento del cursor de la página no es por sí solo adecuado para la manifestación de consentimiento.
El desplazamiento podría, en todo caso, constituir uno de los componentes de un proceso más articulado que permita generar un evento informático adecuado para expresar una elección registrable, documentable e inequívoca.
14 ¿Es legal negar el acceso a un sitio si el usuario rechaza el consentimiento para el uso de cookies y/u otros sistemas de seguimiento?
No, sujeto a la hipótesis que se produzca caso por caso, en la que el responsable del sitio, actuando en cumplimiento del principio de corrección, ofrezca al interesado la posibilidad de acceder a un contenido o servicio equivalente sin dar su consentimiento.
15 ¿Qué debe indicar la información extensa?
- Todos los elementos previstos por la ley, describir de forma analítica las características y finalidades de las cookies instaladas por el sitio,
- Enumerar los otros destinatarios de los datos personales, el tiempo de almacenamiento de la información e indicaciones sobre la posibilidad y la modalidad para que los usuarios ejerzan sus derechos en relación con la protección de los datos personales.
- Debe contener los criterios de codificación de las cookies u otras herramientas de seguimiento utilizados para distinguir, en particular, las cookies técnicas de las cookies analíticas y de las de perfil.
16 ¿Quién debe proporcionar la información y solicitar el consentimiento para el uso de cookies?
El responsable del sitio web que instala cookies de perfil.
Para las cookies de terceros instaladas a través del sitio, las obligaciones de información y consentimiento se refieren a terceros, pero el responsable del sitio web, como intermediario técnico entre estas y los usuarios, está obligado a incluir en la información «extensa» los enlaces actualizados de la información y formularios de consentimiento de los terceros mismos.