Son muchas las dudas que tiene tanto el usuario, como el prestador del servicio de la sociedad de la información o como los propios Web Master sobre el uso de las cookies en los sitios web ,de ahí que la AEPD haya revisado su guía de cookies,

En este artículo quiero arrojar un poco de luz al respecto de forma transparente y fácil de entender haciendo una recopilación de los mas significativo de la regulación hasta ahora en esta materia.

Uso de las cookies en las páginas web

El Considerando 30 del RGPD nos dice:

Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia.

Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

 

El Art. 22 apartado 2 LSSI ley 34/2002

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.»

Guía sobre el uso de las cookies Noviembre 2019

Descargar guía;  Guía sobre el uso de las cookies Noviembre 2019

La nueva guía de cookies publicada por la AEPD nos dice:

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Quedan exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI las cookies utilizadas para alguna de las siguientes finalidades:

  • Permitir únicamente la comunicación entre el equipo del usuario y la red.
  • Estrictamente prestar un servicio expresamente solicitado por el usuario.

En este sentido, el GT29, en su Dictamen 4/201210, interpretó que entre las cookies exceptuadas estarían aquellas que tienen por finalidad:

  • Cookies de “entrada del usuario”
  • Cookies de autenticación o identificación de usuario (únicamente de sesión).
  • Cookies de seguridad del usuario
  • Cookies de sesión de reproductor multimedia.
  • Cookies de sesión para equilibrar la carga.
  • Cookies de personalización de la interfaz de usuario.
  • Determinadas cookies de complemento (plug-in) para intercambiar contenidos sociales

Así pues, puede entenderse que estas cookies quedan excluidas del ámbito de aplicación del artículo 22.2 de la LSSI, y, por lo tanto, no sería necesario informar ni obtener el consentimiento sobre su uso.

Guía sobre el uso de las cookies Noviembre 2019

Guía sobre el uso de las cookies Noviembre 2019

Cuando se debe solicitar el consentimiento

a) Al solicitar el alta en un servicio.

b) Durante el proceso de configuración del funcionamiento de la página web o aplicación.

c) Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido, por ejemplo, en la página web.

Como se debe solicitar el consentimiento

a) A través de plataformas de gestión del consentimiento (consent management platform o CMP).

b) A través del formato de información por capas.

c)  A través del navegador.

Configuración del navegador

Tanto la Directiva sobre privacidad como la LSSI sugieren que la configuración del navegador podría ser una de las formas de obtener el consentimiento. Para que esta opción sea válida, la configuración del navegador debería poder utilizarse de forma que permita que los usuarios manifiesten su conformidad con la utilización de las cookies según lo dispuesto en el RGPD y teniendo en cuenta lo dictaminado por el GT29 y refrendado por el CEPD 26 , esto es, el consentimiento debería ser separado para cada uno de los fines previstos y la información que se facilita debería nombrar a los responsables del tratamiento.

Las obligaciones legales impuestas por la normativa son dos, a saber: la obligación de transparencia y la obligación de obtención del consentimiento.

Con carácter previo al estudio por parte de las entidades intervinientes de las soluciones más apropiadas para dar cumplimiento a las citadas obligaciones (de acuerdo con la naturaleza de su actividad, el modelo de negocio que desarrollan y el alcance de su responsabilidad), se recomienda a las mismas llevar a cabo una revisión de las cookies que se utilizan, bien internamente, bien con el asesoramiento de asociaciones o entidades especializadas.

Esta revisión tendrá como objetivo identificar las cookies que se están utilizando, analizando si son cookies propias o de terceros, de sesión o persistentes, y concretando su función para poder decidir si las mismas se encuentran o no en el ámbito de aplicación del artículo 22.2.

Teniendo en cuenta los posibles cambios que se pueden producir en la gestión y uso de las cookies, es recomendable realizar periódicamente esta revisión a fin de actualizar la información disponible sobre estas.

En todo caso, se recuerda la conveniencia de que las soluciones que se implementen para dar cumplimiento a las obligaciones del art. 22.2 de la LSSI deben ser tecnológicamente neutrales y que, por tanto, deben ser soluciones que la mayoría de navegadores reconozcan.

Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario.

No obstante, no podrá denegarse el acceso al servicio en caso de rechazo de las cookies, en aquellos supuestos en que tal denegación impida el ejercicio de un derecho legalmente reconocido al usuario, por ser el acceso a dicha página web el único medio facilitado al usuario para ejercitar tal derecho.

En CEMEBAL SOLUTIONS somos expertos en dar soluciones globales para la implantación del RGPD y la LSSI,  a todo tipo de empresas en las Islas Baleares.

Si necesitas información sobre nuestros servicios, estaremos encantados de ayudarte.

Puedes contactar con nosotros llamando al teléfono:

Tef. +34 971 912 723

Si lo prefieres, también puedes enviarnos un correo