ADR Formación
Protección de Datos
Knowledge Protección de Datos Protección de Datos
Esta píldora formativa está extraída del Curso online de Claves para Adaptar Nuestra Organización al Reglamento General de Protección de Datos

RGPD: «ley de cookies»

Es lo primero que nos vamos a encontrar al pie o en la cabecera de la web que visitemos por primera vez. Un banner advirtiendo que se van a recoger "algunos datos" y no a todas las páginas web les afecta.

Normativa.

Realmente no es una Ley, sino que corresponde al artículo 22 de la LSSICE,  y pertenece a la Política de privacidad ya que al insertar las cookies en el navegador del usuario se están recogiendo datos personales.

Artículo 22. Derechos de los destinatarios de servicios.

1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

También le afecta el artículo 2 de esta misma Ley.

Artículo 2. Prestadores de servicios establecidos en España.

1. Esta Ley será de aplicación a los prestadores de servicios de la sociedad de la información establecidos en España y a los servicios prestados por ellos.

Se entenderá que un prestador de servicios está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que éstos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios. En otro caso, se atenderá al lugar en que se realice dicha gestión o dirección.

2. Asimismo, esta Ley será de aplicación a los servicios de la sociedad de la información que los prestadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.

Se considerará que un prestador opera mediante un establecimiento permanente situado en territorio español cuando disponga en el mismo, de forma continuada o habitual, de instalaciones o lugares de trabajo, en los que realice toda o parte de su actividad.

3. A los efectos previstos en este artículo, se presumirá que el prestador de servicios está establecido en España cuando el prestador o alguna de sus sucursales se haya inscrito en el Registro Mercantil o en otro registro público español en el que fuera necesaria la inscripción para la adquisición de personalidad jurídica.

La utilización de medios tecnológicos situados en España, para la prestación o el acceso al servicio, no servirá como criterio para determinar, por sí solo, el establecimiento en España del prestador.

4. Los prestadores de servicios de la sociedad de la información establecidos en España estarán sujetos a las demás disposiciones del ordenamiento jurídico español que les sean de aplicación, en función de la actividad que desarrollen, con independencia de la utilización de medios electrónicos para su realización.

Parece imposible y extremadamente complejo cumplir a rajatabla con esta normativa, ya que tampoco tenemos un absoluto control sobre qué cookies se instalarán en el navegador de usuario: Google, Mailchimp, Adsense, etc, 

La AEPD actualiza su Guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos

Para facilitar el cumplimiento de la normativa, la AEPD, con la participación de los sectores afectados, ha actualizado su Guía sobre el uso de cookies. En esta modificación, como en la anteriores, han colaborado por tanto las asociaciones ADIGITAL, AUTOCONTROL, IAB Spain y la Asociación Española de Anunciantes. Cualquier entidad o usuario puede consultar en todo momento las directrices establecidas para un correcto uso de las cookies. En la guía encontramos distintos apartados, como el alcance de las normas, la terminología y las definiciones, las obligaciones y la responsabilidad de las partes en la utilización de cookies. Información muy útil para asegurar el cumplimiento de la normativa.

Es de señalar que estos nuevos criterios deberán implementarse, a más tardar, el 31 de octubre de este año, estableciéndose así un periodo transitorio de tres meses para introducir los cambios necesarios en los mecanismos de obtención del consentimiento para el uso de cookies que se estén utilizando.

Este es el enlace del artículo en la AEPD

La mejor manera de cumplir con la "ley de cookies" es no utilizarlas, como hace la propia Agencia de Protección de Datos y que podemos ver en su Política de Privacidad

A quién obliga.

Muchos de nosotros creemos que cumplimos con lo reglamentado en la LSSCI en materia de información si colocamos un plugin de cookies en nuestra web. Nada más lejos de la realidad ya que no todos cumplen con lo reglamentado.

Para cumplir con la normativa sobre cookies, hay que cumplir tanto con la LSSI como con el RGPD.
¿Quién debe cumplir con el RGPD?
Cualquier persona, entidad pública o empresa privada que utilice cualquier dato personal en el desempeño de sus actividades.
¿Quién está obligado a cumplir la LSSI?
Aquellas entidades que realicen actividades económicas a través de Internet u otros medios telemáticos (email marketing, TV interactiva, etc.) siempre que estén en España o tengan sucursal permanente en territorio español desde el que se efectúen la prestación de servicios de información contemplados en esta Ley..

    Por lo tanto: ¿Quién debe cumplir con la “ley de cookies”?

    Aquellas empresas o profesionales que tengan blog o página web que instalen cookies en los navegadores de los usuarios, así como otros prestadores de servicios de la sociedad de información siempre que se cumpla al menos uno de estos requisitos:

    • Estar establecidos en España (Registro mercantil)
    • Sus servicios estén dirigidos a ciudadanos españoles.
    • Los contemplados en el artículo 2 de la Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico.
    El exhaustivo cumplimiento de lo reglamentado sobre las cookies obliga a:
    • informar de manera previa, clara y completa de la instalación de las cookies de tal manera que se pueda obtener el consentimiento informado antes de ser descargadas, debiendo ser bloqueadas hasta haber obtenido el consentimiento del usuario.
    • describir las funcionalidades de las que se instalarán y el procedimiento para bloquearlas y/o desinstalarlas (con cualquier navegador que usemos)

    Ahora nos podríamos plantear si al usuario le importa tanto que se instalen unas cookies en su navegador como para leer y entender lo que nos obligan a decirle sobre las cookies.

    Contenido del aviso de cookies.

    En resumidas cuentas:

    Esto es lo que hay que hacer:
    • Advertir, previamente, que tu web va a descargar cookies y de qué tipo. Esto se puede hacer en una primera capa a base de un pop-up o banner.
    • Informar con todo detalle, de qué son las cookies, y la finalidad y duración de cada una de ellas. Esto se puede hacer en una segunda capa vinculada  al propio texto.
    • Solicitar el consentimiento del usuario una vez haya recibido toda la información, para que acepte o no, y hay que darle la oportunidad de salir de la web sin que se le instalen. Es decir descargar las cookies una vez haya consentido en su instalación y no antes.
    Esto es sobre lo que debes informar:
    • Qué es una cookie
    • Para qué usa tu sitio las cookies (por ejemplo para facilitar la navegación, hacer un seguimiento, etc.)
    • Qué cookies, en concreto, se van a instalar. Las hay analíticas, publicitarias, de sesión, de seguimiento en carritos de la compra, etc.
    • Cómo se gestiona y desactivan las cookies (depende de los navegadores)

    Esto podría ser un buen ejemplo:

    En una primera capa

    Banner advirtiendo sobre el uso de las cookies

    En una segunda capa el resto de la información:

    POLÍTICA DE COOKIES

    ¿Qué son las cookies?
    Las cookies son archivos que se pueden descargar en su equipo a través de las páginas web. Son herramientas que tienen un papel esencial para la prestación de numerosos servicios de la sociedad de la información. Entre otros, permiten a una página web almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información obtenida, se pueden utilizar para reconocer al usuario y mejorar el servicio ofrecido.

    Tipos de cookies
    Según quien sea la entidad que gestione el dominio desde donde se envían las cookies y trate los datos que se obtengan se pueden distinguir dos tipos:

    • Cookies propias: aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.
    • Cookies de terceros: aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.

    En el caso de que las cookies sean instaladas desde un equipo o dominio gestionado por el propio editor pero la información que se recoja mediante éstas sea gestionada por un tercero, no pueden ser consideradas como cookies propias.

    Existe también una segunda clasificación según el plazo de tiempo que permanecen almacenadas en el navegador del cliente, pudiendo tratarse de:

    • Cookies de sesión: diseñadas para recabar y almacenar datos mientras el usuario accede a una página web. Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (p.e. una lista de productos adquiridos)
    • Cookies persistentes: los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

    Por último, existe otra clasificación según la finalidad para la que se traten los datos obtenidos:

    • Cookies técnicas: aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de vídeos o sonido o compartir contenidos a través de redes sociales.
    • Cookies de personalización: permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.
    • Cookies de análisis: permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.
    • Cookies publicitarias: permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios.
    • Cookies de publicidad comportamental: almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
    • Cookies de redes sociales externas: se utilizan para que los visitantes puedan interactuar con el contenido de diferentes plataformas sociales (facebook, youtube, twitter, linkedIn, etc..) y que se generen únicamente para los usuarios de dichas redes sociales. Las condiciones de utilización de estas cookies y la información recopilada se regula por la política de privacidad de la plataforma social correspondiente.

    Desactivación y eliminación de cookies
    Tienes la opción de permitir, bloquear o eliminar las cookies instaladas en tu equipo mediante la configuración de las opciones del navegador instalado en su equipo. Al desactivar cookies, algunos de los servicios disponibles podrían dejar de estar operativos. La forma de deshabilitar las cookies es diferente para cada navegador, pero normalmente puede hacerse desde el menú Herramientas u Opciones. También puede consultarse el menú de Ayuda del navegador dónde puedes encontrar instrucciones. El usuario podrá en cualquier momento elegir qué cookies quiere que funcionen en este sitio web.

    Puede usted permitir, bloquear o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones del navegador instalado en su ordenador:

    • Microsoft Internet Explorer o Microsoft Edge: http://windows.microsoft.com/es-es/windows-vista/Block-or-allow-cookies
    • Mozilla Firefox: http://support.mozilla.org/es/kb/impedir-que-los-sitios-web-guarden-sus-preferencia
    • Chrome: https://support.google.com/accounts/answer/61416?hl=es
    • Safari: http://safari.helpmax.net/es/privacidad-y-seguridad/como-gestionar-las-cookies/
    • Opera: http://help.opera.com/Linux/10.60/es-ES/cookies.html

    Además, también puede gestionar el almacén de cookies en su navegador a través de herramientas como las siguientes:

    Ghostery: www.ghostery.com
    Your online choices: www.youronlinechoices.com/es/

    Cookies utilizadas en www.miempresa.com
    _ga
    Duración: 2 años
    Descripción: Sirve para distinguir a los usuarios. Generada por Google Analytics. Google almacena la informacion recogida por las cookies en servidores ubicados en Estados Unidos, cumpliendo con la legislación Europea en cuanto a protección de datos personales y se compromete a no compartirla con terceros, excepto cuando la ley le obligue a ello o sea necesario para el funcionamiento del sistema. Google no asocia su direccion IP con ninguna otra informacion que tenga. Si desea obtener mas informacion acerca de las cookies usadas por Google Analytics, por favor acceda a esta direccion: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage?hl=es&csw=1
    Tipo: Tercero
    Finalidad: Analítica

    _gat
    Duración: 1 año
    Descripción: Utilizada para mostrar nuestra publicidad en otras páginas de la red de Google. Generada por Google Analytics. Google almacena la informacion recogida por las cookies en servidores ubicados en Estados Unidos, cumpliendo con la legislación Europea en cuanto a protección de datos personales y se compromete a no compartirla con terceros, excepto cuando la ley le obligue a ello o sea necesario para el funcionamiento del sistema. Google no asocia su direccion IP con ninguna otra informacion que tenga. Si desea obtener mas informacion acerca de las cookies usadas por Google Analytics, por favor acceda a esta direccion: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage?hl=es&csw=1
    Tipo: Tercero
    Finalidad: Publicidad comportamentala

    _gid
    Duración: 1 año
    Descripción: Generada por Google Analytics. Google almacena la informacion recogida por las cookies en servidores ubicados en Estados Unidos, cumpliendo con la legislación Europea en cuanto a protección de datos personales y se compromete a no compartirla con terceros, excepto cuando la ley le obligue a ello o sea necesario para el funcionamiento del sistema. Google no asocia su direccion IP con ninguna otra informacion que tenga. Si desea obtener mas informacion acerca de las cookies usadas por Google Analytics, por favor acceda a esta direccion:https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage?hl=es&csw
    Tipo: Tercero
    Finalidad: Publicidad comportamentala

    datr
    Duración: 2 años
    Descripción: Facebook utiliza cookies de seguridad. Este sistema de seguridad llamado “Delta” comprueba en cada login si la cuenta de usuario está siendo utilizada fraudelentamente por un tercero. Esta comprobación la realiza con el cookie DATR y la información que contiene.
    Tipo: Tercero
    Finalidad: Redes sociales

    fr
    Duración: 3 años
    Descripción: Identificación del usuario en la red social. Tienes 2 partes: La primera parte del archivo cookie es un identificador del navegador, que se utiliza para identificar el navegador web. La segunda parte del archivo cookie es una versión cifrada de la registrada en Facebook del usuario ID. Identificación del usuario se vuelve a cifrar cada hora a un valor diferente.
    Tipo: Tercero
    Finalidad: Redes sociales

    sb
    Duración: 2 años
    Descripción: Permite la integración con Facebook
    Tipo: Tercero
    Finalidad: Redes sociales

    APISID
    Duración: 2 años
    Descripción: Descripción: Al crear o iniciar sesión en una cuenta de Google se almacenan esta cookie en su ordenador con el fin de permanecer conectado a su cuenta de Google al visitar sus servicios de nuevo. Mientras permanezca con esta sesión activa y use complementos en otros sitios Web como el nuestro, Google hará uso de estas cookies para mejorar su experiencia de uso.
    Tipo: Tercero
    Finalidad: Analítica

    HSID
    Duración: 2 años
    Descripción: Al crear o iniciar sesión en una cuenta de Google se almacenan esta cookie en su ordenador con el fin de permanecer conectado a su cuenta de Google al visitar sus servicios de nuevo. Mientras permanezca con esta sesión activa y use complementos en otros sitios Web como el nuestro, Google hará uso de estas cookies para mejorar su experiencia de uso.
    Tipo: Tercero
    Finalidad: Analítica

    NID
    Duración: 6 años
    Descripción: La finalidad de esta cookie es almacenar información sobre tus preferencias.
    Tipo: Tercero
    Finalidad: Personalización

    SAPISID
    Duración: 2 años
    Descripción: Descripción: En algunas páginas de nuestro Sitio Web tenemos vídeos incrustados de Youtube, es un servicio de Google. Su uso implica la remisión de esta cookie además de las cookies que Google requiere si mantiene la sesión activa con su cuenta, con el propósito de visualizar los vídeos incrustados, estimar el ancho de banda y mostrar cuantas veces se ha reproducido.
    Tipo: Tercero
    Finalidad: Analítica

    SID
    Duración: 2 años
    Descripción: Al crear o iniciar sesión en una cuenta de Google se almacenan esta cookie en su ordenador con el fin de permanecer conectado a su cuenta de Google al visitar sus servicios de nuevo. Mientras permanezca con esta sesión activa y use complementos en otros sitios Web como el nuestro, Google hará uso de estas cookies para mejorar su experiencia de uso.
    Tipo: Tercero
    Finalidad: Analítica

    SSID
    Duración: 2 años
    Descripción: Al crear o iniciar sesión en una cuenta de Google se almacenan esta cookie en su ordenador con el fin de permanecer conectado a su cuenta de Google al visitar sus servicios de nuevo. Mientras permanezca con esta sesión activa y use complementos en otros sitios Web como el nuestro, Google hará uso de estas cookies para mejorar su experiencia de uso.
    Tipo: Tercero
    Finalidad: Analítica

    phpsessid
    Duración: Finaliza al cerrar el navegador
    Descripción: Establecer la sesión del usuario que visita el sitio. Se utiliza para identificar y gestionar el estado y valor de las variables de sesión de un usuario particular, trasladando dicha información por el sitio web.
    Tipo: Propia
    Finalidad: Técnica

    1P_JAR
    Duración: 7 días
    Descripción: Transfiere datos a Google.
    Tipo: Tercero
    Finalidad: Analítica

    Aceptación de la Política de cookies
    www.miempresa.com asume que usted acepta el uso de cookies. No obstante, muestra información sobre su Política de cookies en la parte inferior o superior de cualquier página del portal con cada inicio de sesión con el objeto de que usted sea consciente

    Ante esta información es posible llevar a cabo las siguientes acciones:

    Aceptar cookies. No se volverá a visualizar este aviso al acceder a cualquier página del portal durante la presente sesión.
    Cerrar. Se oculta el aviso en la presente página.
    Modificar su configuración. Podrá obtener más información sobre qué son las cookies, conocer la Política de cookies de www.miempresa.com y modificar la configuración de su navegador.

    En Cookiebot lo han resuelto de otra manera:

    Primera capa:
    Contenido del aviso de cookies (primera capa)
    Segunda capa
    Contenido del aviso de cookies (segunda capa)
    Aún a pesar de todo lo dicho anteriormente, no deja de haber incertidumbres en cuanto a la interpretación exhaustiva de la normativa de cookies. Si quieres más información al respecto puedes leer el artículo del Blog de Jorge García Herrero, abogado y Delegado de Protección de Datos.
    Otra guía de las publicadas por la AEPD es esta Guía sobre el Uso de las Cookies.

    Esta guía recoge las normas que se deben cumplir en el uso de cookies y otros sistemas de recogida de información personal para cumplir con la normativa vigente. Detalla también el alcance que puede tener con respecto a la privacidad de los usuarios a los que se les debe hacer conscientes de quién, cómo y para qué, se utilizarán sus datos personales.

    Sobre el consentimiento del usuario.
    El documento analiza la necesidad inexcusable de obtener el consentimiento informado del usuario antes de instalar las cookies, y establece que la información debe ser concisa, transparente e inteligible y utilizar para ello un lenguaje claro y sencillo. 
    Explica, con ejemplos concretos, cómo obtener ese consentimiento a lo largo de las diferentes etapas y situaciones en las que se va encontrando el usuario.
    Recoge, como modalidad válida para recabar el consentimiento, las opciones de aceptar, rechazar o configurar las cookies y admite la opción seguir navegando como fórmula válida de consentimiento, en algunos casos, así como determinadas acciones como por ejemplo,
    “saludar con la mano ante una cámara inteligente, hacer girar un teléfono inteligente en el sentido de las agujas del reloj o moverlo haciendo la forma de un ocho”.
    Si se utiliza la modalidad de seguir navegando como forma de obtención del consentimiento, deberá incluirse en el panel un botón para rechazar todas las cookies, para respetar el requisito de que sea tan fácil retirar el consentimiento como darlo.

    Que el usuario siga visualizando la pantalla, mueva el ratón o pulse una tecla del teclado, no son acciones afirmativas válidas, por lo que no se puede considerar como una aceptación, advierte la guía. El enlace para administrar las preferencias deberá llevar al usuario directamente al panel de configuración y podrá integrarse en la segunda capa informativa con un panel que permita aceptar todas las cookies» y otro para rechazarlas todas

    Mención especial merece el apartado sobre actualización del consentimiento en el que se considera como buena práctica que la validez del mismo para el uso de una determinada cookie no supere los 24 meses, tiempo en el que se debería conservar la selección realizada por el usuario sobre sus preferencias.
    En realidad deberíamos saber si antes de aceptar el uso de cookies, éstas se han descargado o no, para ello existe una complemento  para los navegadores: Ghostery .
    Lo más adecuado es consultar con expertos en protección de datos para que en cada caso nos orienten o faciliten lo específico para nuestra organización.
     

    Esta píldora formativa está extraída del Curso online de Claves para Adaptar Nuestra Organización al Reglamento General de Protección de Datos.

    Amplía tus conocimientos con el Curso Online de Claves para Adaptar Nuestra Organización al Reglamento General de Protección de Datos

    Puedes continuar ahora la formación matriculándote en el curso, o si lo prefieres, consultar nuestro catálogo con cerca de 500 actividades formativas acreditadas.

    Benefíciate del crédito para formación bonificando el curso.

    Este sitio web utiliza cookies de terceros con la finalidad de analizar el uso que hace de nuestra web y personalizar el contenido de los anuncios. Si continúa navegando entendemos que acepta su uso. Más información