La LSSI, en su artículo 22.2 regula el uso de cookies en las páginas web alojadas en España. Se suele hablar de nueva política de cookies y hay muchas dudas sobre qué textos hay que añadir en la ventana emergente, cuáles son los apropiados en el enlace informativo, qué sanciones están aplicando.
NECESITO ASESORAMIENTO LEGAL PARA MI WEB
Así ofreceré mejor imagen y evitaré sanciones
¡QUIERO + INFO!«LAS GALLETAS DE LAS QUE TODOS HABLAN»
Recientemente hemos podido conocer la primera sanción en España impuesta por utilizar en diversas páginas Web cookies sin informar adecuadamente a los usuarios -R/02990/2013 del procedimiento PS/00321/2013 de la Agencia Española de Protección de Datos-.
Se suele hablar mucho de “Ley de Cookies”, sin embargo, la regulación que actualmente existe en España en materia de cookies, se recoge en el artículo 22.2 de la LSSI (Ley 34/2002, de Servicios de la Sociedad de la Información y el Comercio Electrónico, que dice así:
“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”.
¿Qué son las Cookies?
Pues bien, las cookies son piezas de información, normalmente almacenados en archivos de texto, que los sitios web instalan en los ordenadores de los visitantes, y a través de las cuales se almacena diversa información relacionada con ellos.
Gracias a las cookies los usuarios podemos registrarnos en un sitio Web, podemos movernos a otras páginas diferentes y podemos permanecer conectados y registrados en ellas. Además las cookies nos permiten establecer nuestras preferencias sobre cómo visualizar una página determinada y hacen que una página te recuerde la próxima vez que vuelvas a ella.
Pero es que además, las cookies se pueden utilizar para poder conocer qué páginas visitas y así, conocer cuáles son los intereses de un usuario en concreto, para enviar a cada usuario publicidad personalizada conforme a sus intereses o preferencias.
Casi todas las páginas Web usan cookies de una forma u otra, siendo muy útiles en muchos sentidos, pues ofrecen al usuario, una navegación rápida y fácil. Aunque también pueden usarse por las empresas para su propio beneficio ofreciendo así experiencias personalizadas.
Existen varios tipos de cookies, con finalidades diferentes:
- Técnicas: Que permiten al usuario la navegación, a través de una Web, plataforma o aplicación y la utilización de diferentes opciones o servicios.
- De personalización: Que permiten al usuario acceder al servicio con algunas características predefinidas en función a determinados criterios fijados en el terminal del usuario.
- De análisis: Que permiten al Responsable del sitio Web el seguimiento y análisis del comportamiento de los usuarios.
- De publicidad: Que permiten la gestión de espacios publicitarios incluidos en la Web que se visite.
- De publicidad comportamental: Que permiten desarrollar un perfil específico para así mostrar al usuario publicidad personalizada.
Se ha hablado mucho, de que las empresas que tienen una página Web, no pueden utilizar cookies, porque se arriesgan a ser sancionados. Nada más lejos de la realidad. El uso de cookies es totalmente lícito y pueden instalarse las mismas en los ordenadores de los visitantes, siempre y cuando se cumplan unos requisitos legales, establecidos en el citado artículo 22.2 LSSI.
Para cumplir con el citado artículo, lo primero y más importante, es cumplir con el DEBER DE INFORMACIÓN.
La Agencia Española de Protección de Datos, en la resolución citada al comienzo del artículo, considera que es válida la información sobre cookies, cuando ésta se facilita al usuario a través de varias capas. Pero es que además, dice la Agencia, que la información que se facilite, debe ser CLARA, COMPLETA Y FÁCILMENTE ACCESIBLE AL USUARIO.
La primera capa de información, se deberá poner a disposición del usuario, en un lugar visible, cuando éste acceda a una Web que pretenda instalar cookies no exentas en su terminal (ya sea ordenador o cualquier otro dispositivo, como por ejemplo, en su smartphone).
Esta información podrá facilitarse a pie de página, a través de un banner o con una ventana emergente. Realmente, la forma de presentación será indiferente, siempre que la misma sea fácilmente accesible y contenga la siguiente información:
- Deberá advertirse al visitante sobre el uso de cookies no exceptuadas que se instalarán en el terminal al visitar la página Web o al usar el servicio solicitado.
- Se deberá identificar claramente las finalidades de las cookies que se instalarán, informando si son propias o de terceros.
- Se deberá advertir al usuario de que si realiza una determinada acción, aceptará el uso e instalación de las cookies – por ejemplo, clicar en el botón “Aceptar”, seguir navegando en una página Web, etc.
- Deberá existir un enlace a una segunda capa informativa, donde se contenga información detallada y que es lo que se conoce como “Política de Cookies”.
Esta segunda capa informativa, por el contrario, deberá contener una serie de información sobre el uso de cookies. Esta información será mucho más específica y detallada, debiendo constar la misma en un documento diferente a las Condiciones de Uso de la página Web, el Aviso Legal o la Política de Privacidad, y deberá ser fácilmente accesible para el usuario.
La propia Agencia Española de Protección de Datos, ha establecido que el contenido de esta segunda capa informativa, deberá ser el siguiente:
- Deberán definirse qué son las cookies y deberá mencionarse expresamente la función que cada una de ellas desempeñan en la página o sitio Web que se está visitando.
- Deberá detallarse el tipo de cookies que se utilizan, identificando cada una de ellas y definiendo la finalidad de cada una.
- Deberá establecerse la manera en que el usuario puede desactivar o eliminar las cookies.
- Deberá mencionarse de qué manera puede el usuario revocar el consentimiento que ya ha prestado.
- Y deberá identificarse quién utiliza las cookies que se están instalando, dando información clara y completa sobre los terceros con los que el propietario de la Web haya contratado una prestación de servicios determinada y que implique la utilización de cookies.
Pero es que además del deber de información, para poder instalar y utilizar cookies, se debe OBTENER EL CONSENTIMIENTO DEL USUARIO.
Según establece la propia Agencia Española de Protección de Datos, en la Guía sobre el uso de las Cookies, el consentimiento podrá obtenerse de varias formas, por ejemplo, haciendo clic en un apartado que indique “consiento”, “acepto” u otros similares, ofreciéndole al usuario una acción a realizar por éste, después de haberle facilitado información clara y accesible (conforme a los parámetros que acabamos de ver), o incluso podría entenderse que el usuario consiente la instalación de cookies si continúa navegando en la Web o aplicación, siempre que se le hubiera informado sobre este extremo.
¿Qué Cookies están exentas de cumplir con estos deberes de informar y obtención de consentimiento?
- Aquellas cookies estrictamente necesarias para prestar un servicio expresamente solicitado por el usuario.
- Aquellas cookies necesarias únicamente para permitir la comunicación entre el equipo del usuario y la red.
Es decir, cookies de entrada del usuario, cookies de sesión (autenticación e identificación del usuario), cookies de seguridad del usuario, cookies de sesión de reproductor multimedia, cookies de carga, cookies de personalización de la interfaz del usuario, cookies de complemento (plug-in) para intercambiar contenidos sociales, cookies de cesta de la compra, cookies para rellenar un formulario.
¿Que Cookies utilizaban e instalaban las empresas sancionadas?
En concreto, las empresas sancionadas utilizaban e instalaban en los terminales de los visitantes de sus sitios Web las siguientes cookies:
- Google Analytics.
- WordPress (Jetpack y Slimstats)
- Quantcast vinculada a Automattic (de WordPress).
- Seevolution.
- Google Maps.
- Youtube.
- DoubleClick.
- Zopim.
- Magento.
- Google – Flash Cookie.
- Cookies propias – Que forzaban a los navegadores a recargar la página.
¿Por qué fueron sancionadas?
En definitiva las empresas fueron sancionadas porque se demostró que éstas no identificaban inequívocamente las cookies que hemos enumerado, no definían las finalidades de cada una de ellas, ni identificaban quién era el responsable de las mismas. No daban por tanto, información clara y completa sobre el uso que se iba a dar a los datos que se obtuviesen con las cookies instaladas, ni quién las iba a utilizar. De manera que la Agencia Española de Protección de Datos sancionó a las dos empresas titulares de las páginas Web analizadas, debiendo una de las dos empresas pagar la cantidad de 3.000 € por incumplir el deber de información, tal como lo hemos analizado en el presente artículo y debiendo la otra empresa, pagar la cantidad de 500 €, por incumplir el mismo deber de información dispuesto en el artículo 22.2 de la LSSI.
Ahora bien, ¿qué ocurrió en este procedimiento con el deber de obtener el consentimiento de los usuarios antes de instalar las cookies en sus terminales? En cuanto a este deber, previsto también en el artículo 22.2 LSSI, la Agencia Española de Protección de Datos, no apreció existencia de infracción.
La Agencia ha entendido que SÍ es obligatorio obtener el consentimiento de los usuarios, pero que sin embargo, su falta de obtención no es sancionable porque, según sus propias palabras “no puede sancionarse una conducta que no está contemplada en el tipo sancionador fijado por el artículo 38.4.g) de la LSSI, ya que este precepto hace referencia al establecimiento de un procedimiento de rechazo del tratamiento de datos”.
Así, basándose en los principios de tipicidad y legalidad recogidos en los artículos 127 y 129 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, que establecen que sólo constituirán infracciones administrativas las vulneraciones del ordenamiento jurídico previstas como tales infracciones por la ley, ejerciendo la potestad sancionadora, cuando ésta se reconozca por la ley, aplicando para ello el procedimiento previsto, consideró que la falta de obtención de consentimiento no era sancionable por no estar contemplada en el artículo 38.4.g) de la LSSI.
Por tanto, desde nuestro despacho os animamos a poner vuestras páginas y sitios Web al día, adaptándolas a la normativa vigente y dejándoos asesorar por expertos en la materia.
Podéis ver la resolución aquí
También puedes conocer nuestros servicios de adaptación web LSSI / LOPD