Aviso de Cookies
INFORMACIÓN USO COOKIES
OBLIGACIONES
Las obligaciones legales impuestas por la normativa son dos, a saber: la obligación de transparencia y la obligación de obtención del consentimiento.
Con carácter previo al estudio por parte de las entidades intervinientes de las soluciones más apropiadas para dar cumplimiento a las citadas obligaciones (de acuerdo con la naturaleza de su actividad, el modelo de negocio que desarrollan y el alcance de su responsabilidad), se recomienda a las mismas llevar a cabo una revisión de las cookies que se utilizan, bien internamente, bien con el asesoramiento de asociaciones o entidades especializadas. Esta revisión tendrá como objetivo identificar las cookies que se están utilizando, analizando si son cookies propias o de terceros, de sesión o persistentes, y concretando su función para poder decidir si las mismas se encuentran o no en el ámbito de aplicación del artículo 22.2.
Teniendo en cuenta los posibles cambios que se pueden producir en la gestión y uso de las cookies, es recomendable realizar periódicamente esta revisión a fin de actualizar la información disponible sobre estas.
En todo caso, se recuerda la conveniencia de que las soluciones que se implementen para dar cumplimiento a las obligaciones del art. 22.2 de la LSSI deben ser tecnológicamente neutrales y que, por tanto, deben ser soluciones que la mayoría de navegadores reconozcan.
3.1. Transparencia
3.1.1. Qué información debe facilitarse
El apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos. Esta información debe facilitarse, como se ha indicado, con arreglo a lo dispuesto el RGPD, que requiere que el tratamiento de los datos de los usuarios se realice de forma transparente para ellos.
Por consiguiente, la información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.
En la política de cookies deberá incluirse la siguiente información21 :
a) Definición y función genérica de las cookies.
EJEMPLO:
¿Qué son las cookies? Este sitio web utiliza cookies y/o tecnologías similares que almacenanyrecuperaninformacióncuando navegas. En general, estas tecnologías pueden servir para finalidades muy diversas, como, por ejemplo, reconocerte como usuario, obtener información sobre tus hábitos de navegación, o personalizar la forma en que se muestra el contenido. Los usos concretos que hacemos de estas tecnologías se describen a continuación.
b)Información sobre el tipo de cookies que se utilizan y su finalidad.
EJEMPLO:
¿Qué tipos de cookies se utilizan en esta página web?
• De análisis: son aquellas que, tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.
• Publicitarias comportamentales: son aquellas que, tratadas por nosotros o por terceros, nos permiten analizar sus hábitos de navegación en Internet para que podamos mostrarle publicidad relacionada con su perfil de navegación.
En el caso de que no fuera posible para el editor ofrecer una explicación suficiente sobre la finalidad de las cookies utilizadas por terceros o la forma de eliminarlas, puede facilitar esta información incluyendo un enlace a la página web del tercero. Las plataformas de gestión del consentimiento (consent magement platform o CMP) que cumplan los requisitos y garantías que se indican en el apartado v.d) del Anexo pueden ser una solución.
c) Identificación de quién utiliza las cookies, esto es, si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros con los que editor haya contratado la prestación de un servicio para el cual se requiera el uso de cookies, con identificación de estos últimos.
En línea con el requisito de concisión que establece el RGPD, no será necesario que la información concreta sobre los terceros (es decir, su nombre o marca con la que el público pueda conocerlos y, en su caso, el enlace a la información que ofrece sobre sus cookies) sea directamente visible en la política de cookies, sino que podrán utilizarse mecanismos como botones que desplieguen esa información más específica o texto emergente que aparezca al pasar el puntero del ratón por encima, y ello siempre que el usuario pueda acceder fácilmente a la información si así lo desea.
EJEMPLO:
Cookies de terceros.
Cookies de análisis: permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.
+ Conoce a los terceros
d)Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies enunciadas a través de las funcionalidades facilitadas por el editor (el sistema de gestión o configuración de cookies que se haya habilitado) o a través de las plataformas comunes que pudieran existir para esta finalidad.
Si el sistema de gestión o configuración de las cookies del editor no permite evitar la utilización de las cookies de terceros una vez aceptadas por el usuario, se facilitará información sobre las herramientas proporcionadas por el navegador y los terceros y se deberá advertir que, si el usuario acepta cookies de terceros y posteriormente desea eliminarlas, deberá hacerlo desde su propio navegador o el sistema habilitado por los terceros para ello. A estos efectos, y sin perjuicio de tener que disponer del correspondiente sistema de gestión o configuración de cookies según se indica en el párrafo anterior, se podrá facilitar adicionalmente la siguiente información: “Tenga en cuenta que, si acepta las cookies de terceros, deberá eliminarlas desde las opciones del navegador o desde el sistema ofrecido por el propio tercero”.
e) En su caso, información sobre las transferencias de datos a terceros países realizadas por el editor.
La opinión del GT29 sobre este punto, refrendada por el CEPD, es que debe especificarse el artículo del RGPD que permite la transferencia, identificar a los terceros países y proporcionar información sobre dónde y cómo se puede acceder a la decisión de adecuación o a las garantías adecuadas o apropiadas, incluidas las normas corporativas vinculantes, que, en su caso, permitan la transferencia. En ausencia de estas, se debe informar al usuario del riesgo de realizar la transferencia sin nivel de adecuación o de garantías apropiadas, si se pretende obtener su consentimiento explícito.
Respecto de las transferencias que, en su caso, realicen terceros, será válida la remisión a la información que faciliten esos terceros.
EJEMPLO:
Puedes informarte de las transferencias a terceros países que, en su caso, realizan los terceros identificados en esta política de cookies en sus correspondientes políticas (ver los enlaces facilitados en el apartado “Cookies de terceros”).
f) Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar, será necesario que se informe sobre la lógica utilizada, así como la importancia y las consecuencias previstas de dicho tratamiento para el usuario en los términos establecidos en el artículo 13.2 f) del RGPD22 .
g) Periodo de conservación de los datos para los diferentes fines en los términos establecidos en el artículo 13.2 a) del RGPD.
h) En relación con el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad.
3.1.2. Cómo debe mostrarse esa información
3.1.2.1. Requisitos de la información
Entre los requisitos de transparencia merecen ser destacadas las siguientes normas, aplicables a la provisión a los usuarios de información relativa al uso de cookies:
a) La información o la comunicación debe ser concisa, transparente e inteligible.
La información debe ser sucinta para evitar el cansancio informativo y debe utilizar un lenguaje claro y sencillo, de forma que pueda ser entendida por un usuario medio.
El GT29, en su Dictamen 15/2011, recomendó tener en cuenta el tipo de usuario medio al que se dirige la página web y adecuar el lenguaje y el contenido de los mensajes a su nivel técnico. En la misma línea, en sus directrices sobre transparencia, el GT29 dice que la información “debe resultar comprensible al integrante medio de la audiencia objetivo”.
(22) No obstante, en las directrices del GT29 sobre decisiones individuales automatizadas y elaboración de perfiles, adoptadas el 3 de octubre de 2017, y revisadas por última vez y adoptadas el 6 de febrero de 2018, se reconoce que, por ejemplo, la publicidad comportamental no entra generalmente en el ámbito del artículo 22.2 del RGPD, ya que “[e]n muchos casos típicos, la decisión de presentar publicidad dirigida basada en la elaboración de perfiles no tendrá un efecto significativamente similar en las personas”.
Cuanto menor sea el nivel técnico del usuario medio de esa página web, más sencillo deberá ser el lenguaje que se utilice (evitando terminología técnica poco comprensible) y más completa la información que se ofrezca, partiendo de los aspectos más básicos de qué son las cookies y cómo funcionan. En todo caso, ese menor nivel técnico no deberá ser óbice para que la información facilitada sea lo más clara posible, evitando recargar la información con detalles innecesarios que hagan farragosa su lectura.
Por el contrario, si los usuarios a los que se dirige la página web gozan de un elevado nivel de conocimientos sobre Internet, puede no ser necesario proporcionar la información básica sobre qué son las cookies y cómo funcionan, si bien deberán incluir en todo caso información detallada sobre qué tipo de cookies se utilizan en esa página y con qué fines.
En todo momento debe partirse de la consideración del conocimiento que sobre las cookies y su gestión tiene un usuario medio, sin perjuicio de exigir información adicional cuando las páginas web se encuentren especialmente dirigidas a usuarios que por su perfil pueda considerarse que tienen un grado de conocimiento inferior.
b)Se ha de utilizar un lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje.
No serían válidas, por ejemplo, frases como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias comportamentales. También deben evitarse términos como “puede”, “podría”, “algún”, “a menudo”, y “posible”.
c) La información ha de ser de fácil acceso.
El usuario no debe buscar la información, sino que debe ser evidente para él dónde y cómo puede acceder a ella, como cuando se proporciona un enlace claramente visible que dirige directamente a la información bajo un término de uso común como “política de cookies” o “cookies”.
Informar a los usuarios no es algo nuevo en Internet. La mayor parte de los editores de páginas web saben qué métodos utilizar para atraer la atención de los usuarios hacia aquellas informaciones que se desean resaltar, como en el caso de promociones, ofertas o encuestas de satisfacción, y para obtener el consentimiento de sus usuarios, aunque sea en otros contextos (por ejemplo, cambios en los términos y condiciones de uso, confirmación de compras o verificaciones de edad mínima requerida). El modo en que se informe a los usuarios debería aprovechar la experiencia adquirida mediante estos métodos.
Además, en el caso de que un usuario preste su consentimiento para el uso de cookies, la información debe seguir siendo fácilmente accesible en la página o en la aplicación (que no se encuentre a más de dos clics, como recomienda el GT29 en sus directrices sobre la transparencia). En un sitio web, por ejemplo, la accesibilidad y visibilidad de la política de cookies se pueden potenciar de las siguientes formas:
• A través del formato del enlace: por ejemplo, incrementando el tamaño del enlace a la información o utilizando una fuente diferente que distingan ese enlace del texto normal de la página web.
• A través del posicionamiento del enlace: La localización del enlace en zonas que capten la atención de los usuarios o en zonas donde el usuario medio espere encontrarlos por ser una práctica habitual y generalizada puede ayudar a garantizar su accesibilidad y visibilidad.
• A través de la utilización de una denominación descriptiva e intuitiva para el enlace: La utilización de una expresión explicativa como por ejemplo “Política de cookies”, en lugar de una expresión más general como “Política de privacidad” para mejorar la accesibilidad y visibilidad del mensaje.
• A través de otras técnicas que ayuden a destacar la importancia de ese enlace informativo, tales como encuadrar o subrayar el enlace, desplegar un aviso cuando el puntero del ratón pasa sobre el enlace o utilizar una imagen sobre el que se pueda hacer clic y que anime a buscar más información.
En particular, es aconsejable que la información relativa a la forma a través de la cual gestionar las cookies (incluyendo cómo revocar el consentimiento y eliminar las cookies) esté a su disposición de forma accesible y permanente en todo momento a través de la página web, aplicación o servicio en línea de que se trate. A estos efectos, y sin perjuicio de otras soluciones que puedan adoptarse, se considerará que se cumple dicho requisito cuando el sistema de gestión de las cookies (panel de configuración, CMP, etc.) esté integrado en la propia política de cookies o cuando se incluya en esta política un enlace que lleve directamente al sistema de gestión.
En todo caso, la información obligatoria podrá ofrecerse mediante múltiples sistemas. Como más adelante veremos, generalmente con estos medios no sólo se suministrará la información necesaria, sino que también se podrá solicitar el consentimiento del usuario para la utilización de los dispositivos.
3.1.2.2. Información por capas
En sus directrices sobre la transparencia, el GT29 recomienda el uso de declaraciones o avisos de privacidad por niveles, esto es, que contengan la información en capas, de modo que se permita al usuario ir a aquellos aspectos de la declaración o aviso que sean de mayor interés para él, evitando así la fatiga informativa, y ello sin perjuicio de que la totalidad de la información se encuentre disponible en un único lugar o en un documento completo al que se pueda acceder fácilmente si el interesado desea consultarlo en su totalidad.
Este sistema puede consistir en mostrar la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información más detallada y específica sobre las cookies.
En la primera capa, que para mayor claridad podrá identificarse bajo un término de uso común (como, por ejemplo, “cookies”), se incluiría la siguiente información:
a) Identificación del editor responsable del sitio web. No será necesaria la denominación social, siempre que sus datos identificativos completos figuren en otras secciones del sitio web (aviso legal, política de privacidad, etc.) y su identidad pueda desprenderse de forma evidente del propio sitio web (por ejemplo, cuando el propio dominio se corresponda con el nombre del editor o la marca con la que se identifica frente al público o dicho nombre o marca figuren claramente en el sitio web).
b) Identificación de las finalidades de las cookies que se utilizarán.
c) Información sobre si las cookies son propias (del responsable de la página web) o también de terceros asociados a él, sin que sea necesario identificar a los terceros en esta primera capa.
d) Información genérica sobre el tipo de datos que se van a recopilar y utilizar en caso de que se elaboren perfiles de los usuarios (por ejemplo, cuando se utilicen cookies de publicidad comportamental).
e) Modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies, con la advertencia, en su caso, de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.
f) Un enlace claramente visible dirigido a una segunda capa informativa en la que se incluya una información más detallada, utilizando, por ejemplo, el término “Cookies”, “Política de cookies” o “Más información, pulsa aquí”. Este mismo enlace podrá utilizarse para conducir al usuario al panel de configuración de cookies, siempre que el acceso al panel de configuración sea directo, esto es, que el usuario no tenga que navegar dentro de esta segunda capa para localizarlo.
Esta información se facilitará antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.
Ejemplo número 1
COOKIES
Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ.
ACEPTAR COOKIES – RECHAZAR COOKIES
Como puede observarse, en este ejemplo se ofrece información sobre el uso por el editor y por terceros de cookies analíticas y de publicidad comportamental, y se obtiene el consentimiento explícito de los usuarios que acepten el uso de cookies haciendo clic en el botón. Si no se pulsa el botón “Aceptar cookies”, el usuario no está autorizando el uso de cookies (por lo tanto, no está legitimado el uso de cookies si el usuario no pulsa el botón para aceptar cookies y simplemente continúa navegando).
Otro ejemplo válido de primera capa, con el mismo tipo de cookies, sería el siguiente:
Ejemplo número 2
Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica AQUÍ para más información. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso clicando AQUÍ.
ACEPTAR
Como en el ejemplo anterior, si no se pulsa el botón “Aceptar”, el usuario no está autorizando el uso de cookies (por lo tanto, no está legitimado el uso de cookies si el usuario no pulsa el botón para aceptar cookies).
En todo caso, será necesario que el usuario realice una acción que pueda calificarse como una clara acción afirmativa para que el consentimiento se considere válidamente otorgado.
La obtención del consentimiento mediante una conducta de los usuarios distinta de un botón de aceptación, pero que consista en una clara acción afirmativa, será admisible siempre que las condiciones en que se produzca la conducta ofrezcan suficiente certeza de que se presta un consentimiento informado e inequívoco y pueda probarse que dicha conducta se ha realizado. En cualquier caso, el mero hecho de permanecer visualizando la pantalla, hacer scroll o navegar por el sitio web no se considerará una clara acción afirmativa bajo ninguna circunstancia.
Será necesario que la información de la primera capa se complete con un sistema o panel de configuración en el que el usuario pueda optar entre aceptar o no las cookies de forma granular, o un enlace que conduzca a dicho sistema o panel.
También puede darse al usuario una tercera opción, consistente en incluir dos botones, para que acepte o configure/rechace las cookies:
Ejemplo número 3
COOKIES
Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica AQUÍ para más información. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso pulsando el botón “Configurar”.
CONFIGURAR ACEPTAR
La opción “Aceptar” podrá sustituirse por términos equivalentes, tales como “Aceptar y continuar”, “OK” o “Aceptar y cerrar”. Del mismo modo, y también a título de ejemplo, la opción “Configurar” podrá sustituirse por términos como “Opciones”, “Más opciones”, “Otras opciones” o “Configuración de privacidad”. Estas opciones serán admisibles siempre que se haya informado con claridad de las consecuencias de la elección respecto de la aceptación o configuración de las cookies.
El enlace o botón para administrar preferencias debe llevar al usuario directamente al panel de configuración, sin que tenga que desplazarsepor grandes cantidades de texto buscando la información, que deberá seguir siendo accesible de forma permanente. El panel podrá integrarse en la segunda capa informativa.
Para facilitar la selección, en el panel podrán implementarse dos botones, uno para aceptar todas las cookies y otro para rechazarlas todas, siendo esta opción recomendable cuanto mayor sea el número distinto de cookies que se utilicen. Si se utiliza el segundo o tercer ejemplo como forma de obtención del consentimiento, deberá incluirse en el panel un botón para rechazar todas las cookies, para respetar el requisito de que sea tan fácil retirar el consentimiento como darlo. A estos efectos, por ejemplo, se considerará satisfecho este requisito si el panel de configuración incluye un botón de “Rechazar todas las cookies” o un botón para guardar la elección realizada por el usuario y, en este segundo caso, además se indica expresamente que, si el usuario guarda su elección sin haber seleccionado ninguna cookie, equivaldrá al rechazo de todas las cookies. En relación con esta segunda posibilidad, debe recordarse que en ningún caso son admisibles las casillas premarcadas a favor de aceptar cookies. Para este supuesto del botón de guardado, podrá indicarse lo siguiente:
Al pulsar “Guardar configuración”, se guardará la selección de cookies que hayas realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies.
GUARDAR CONFIGURACIÓN
El grado de granularidad en el panel a la hora de mostrar la selección de cookies deberá valorarlo el editor del sitio web. Si bien es aconsejable que se tengan en cuenta las siguientes reglas:
• Como mínimo, deberían agruparse las cookiesporsufinalidad(porejemplo,elusuario podría elegir aceptar las cookies analíticas y no así las publicitarias comportamentales). Téngase en cuenta que la lista de finalidades prevista en esta guía no es cerrada, pudiendo haber muchas formas distintas de agrupar las cookies según su finalidad. Dentro de cada finalidad, y a elección del editor del sitio web, podrían agruparse las cookies en función del tercero que las utiliza (por ejemplo, el usuario podría elegir aceptar las cookies analíticas de un determinado titular y no así las de otro).
• En relación con las cookies de terceros es suficiente con identificarlos por su nombre o por la marca con la que se identifican de cara al público, sin incluir la denominación social completa.
• Debe evitarse el grado máximo de granularidad (selección cookie a cookie), ya que el exceso de información dificulta la toma de decisiones.
En la segunda capa, que debe encontrarse disponible de forma permanente en el sitio web o en la aplicación, se incluiría la información que se ha indicado en el apartado 3.1.1.
3.1.2.3. Otras formas de mostrar la información
Aparte de la posibilidad de informar por capas, existen otras formas comunes de facilitar la información sobre cookies. Por ejemplo:
a) El suministro de la información (ver apartado 3.1.1) a través de un aviso suficientemente visible.
b) Al solicitar el alta en un servicio, o antes de descargar un servicio o una aplicación, podrá suministrarse esta información junto con la política de privacidad, o con los términos y condiciones de uso del servicio, siempre que exista un enlace o acceso directo a la sección relativa a cookies dentro del correspondiente documento.
A fin de mantener la visibilidad de la información sobre las cookies, esta deberá estar destacada y separada (mediante un hiperenlace distinto, por ejemplo) del resto de la información sobre términos y condiciones de uso o política privacidad.
En estos supuestos también será posible suministrar la información y obtener el consentimiento a través de medios convencionales (off-line), siempre y cuando, quede constancia de que los usuarios han sido informados individualmente y han facilitado su consentimiento (tarjetas de fidelización, por ejemplo).
3.2. Consentimiento
3.2.1. El consentimiento como base para el cumplimiento de la normativa
Para la utilización de las cookies no exceptuadas será necesario en todo caso obtener el consentimiento del usuario. Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares. También podrá obtenerse infiriéndolo de una inequívoca acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies. En ningún caso la mera inactividad del usuario implica la prestación del consentimiento por sí misma.
Para que dicho consentimiento sea válido será necesario que el consentimiento haya sido otorgado de forma libre e informada. Por tanto, es necesario tener en cuenta:
a) Que las modalidades de prestación del consentimiento pueden ser variadas. La obtención del consentimiento a través de un clic del usuario o de una conducta similar no cabe duda de que facilitará la prueba de que se ha obtenido. Esta fórmula puede ser la más apropiada para usuarios registrados.
b) Que el usuario deberá haber realizado una clara acción afirmativa.
c) Que tiene que ser evidente para el usuario con qué concreta acción suya acepta la utilización de las cookies. En este sentido, el uso de un botón del tipo “Aceptar” se considerará información suficiente, sin necesidad de aclarar que pulsando “Aceptar” se aceptan las cookies. En cambio, acciones complejas o menos obvias que el uso de botones de aceptación o guardado de la configuración escogida deberán explicarse al usuario.
El CEPD ha establecido que seguir navegando no es una forma válida de prestar el consentimiento. Del mismo modo, la consulta de la segunda capa informativa si la información se presenta por capas, así como la navegación necesaria para que el usuario gestione sus preferencias en relación con las cookies no es una conducta activa de la que pueda derivarse la aceptación de cookies.
d) Que el usuario, en todo caso, podrá negarse a aceptar las cookies.
e) Que la información que se otorgue al usuario para que pueda consentir la utilización de las cookies se encuentre separada de la información que se le ofrezca sobre otros asuntos.
f) Que la aceptación de los términos o condiciones de uso de la página web o servicio se separe de la aceptación de la política de privacidad o cookies.
g) Que, aunque las cookies no suelen utilizarse en escenarios en los que el RGPD exige el consentimiento explícito de los interesados23 , cuando este consentimiento explícito sea necesario (artículos 9.2 a), 22.2 c) y 49.1 a) del RGPD), el consentimiento solo podrá obtenerse mediante botones de aceptación, siempre que incluya una leyenda específica con el término “consiento” y se facilite información completa sobre las categorías especiales de datos respecto de las que se consienten, las decisiones individuales automatizadas o las transferencias a terceros países, según el caso.
Ejemplo
COOKIES
Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ.
ACEPTAR COOKIES RECHAZAR COOKIES
Marca esta casilla si consientes que, para dichos fines de análisis y de elaboración de perfiles a partir de tus hábitos de navegación para mostrarte publicidad personalizada, utilicemos categorías especiales de datos (mencionar aquí las categorías especiales de datos que se utilicen en cada caso)
A los efectos del ejemplo anterior podría ser válido que en el texto del banner se hiciera referencia a “categorías especiales de datos”, subrayado y destacado en otro color, como un enlace y al pasar el puntero por encima se abriese un globo especificando las categorías concretas que se utilizan o que se envíe directamente a una lista de éstas.
3.2.2. Quién debe prestar el consentimiento
De conformidad con el apartado 2 del artículo 22 de la LSSI el consentimiento debe ser prestado por los “destinatarios” de los servicios de la sociedad de la información.
De acuerdo con el apartado d) del Anexo de la LSSI por “Destinatario del servicio o destinatario” debe entenderse “la persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información”. Y conforme a las definiciones realizadas en el apartado correspondiente, el término destinatario coincide con el de usuario, que es el utilizado en la presente guía.
Por ello, la información debe dirigirse directamente al usuario para que pueda expresar su consentimiento o su rechazo.
3.2.3. Modalidades de obtención del consentimiento
La determinación de qué método será apropiado para obtener el consentimiento para usar cookies dependerá del tipo de cookies que se van a utilizar, de su finalidad y de si son propias o de terceros. Un aspecto a tener en cuenta es si la relación con el usuario la tiene el editor o los terceros.
En este sentido, debe indicarse si el consentimiento se presta solo para la página web en la que se está solicitando o si se facilita también para otras páginas web del mismo editor o incluso para terceros asociados al editor en el marco de las finalidades de las cookies sobre las que se ha ofrecido información.
(23) Como se ha indicado más arriba, en las directrices del GT29 sobre decisiones individuales automatizadas y elaboración de perfiles se reconoce que, por ejemplo, la publicidad comportamental generalmente no encaja en el ámbito del artículo 22.2 del RGPD.
Caben, entre otros, los siguientes mecanismos de obtención del consentimiento:
a) Al solicitar el alta en un servicio.
Es posible solicitar el consentimiento para el uso de cookies cuando el usuario solicita el alta en un servicio, siempre que este consentimiento esté separado y no se agrupe con la aceptación de los términos y condiciones de uso de la página web, de su política de privacidad o de las condiciones generales del servicio.
b) Durante el proceso de configuración del funcionamiento de la página web o aplicación.
Muchas páginas web y aplicaciones móviles permiten al usuario configurar el servicio, pudiendo este configurar características como el idioma, el tipo de letra, el color de fondo de pantalla, etc. Por las características concretas de las aplicaciones, estas además suelen preguntar al usuario si pueden acceder a información de su terminal (como agenda, para sugerir amigos o álbum de fotos).
Así, la prestación del consentimiento para la utilización de las cookies puede configurarse durante el proceso de elección o especificación por parte del usuario de las características, quedando el consentimiento integrado en la elección del usuario y recordando los ajustes elegidos por este.
c) A través de plataformas de gestión del consentimiento (consent management platform o CMP).
En la medida en que las CMP cumplan los requisitos y garantías que se indican en el apartado v a) del Anexo, serán apropiadas como métodos de obtención del consentimiento.
d)Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido, por ejemplo, en la página web.
Otra de las posibilidades de obtención del consentimiento es antes del momento en que se vaya a descargar un servicio incluido en la página web o en la aplicación (por ejemplo, un vídeo, una imagen o un juego).
En tales casos, si las cookies que se pretenden utilizar no son necesarias para el funcionamiento del servicio o de la aplicación, se debe permitir a los usuarios dar su consentimiento antes de la descarga del servicio o de la aplicación. Ha de recordarse que en el caso de que una página web ofrezca contenidos audiovisuales, estos son parte del servicio expresamente solicitado por el usuario, estando por tanto exceptuado del deber de requerir tal consentimiento para mostrar tal contenido.
Si el usuario desea ejercer un derecho que le está legalmente reconocido (por ejemplo, la baja en un servicio telefónico, de acceso a Internet o de otro tipo) y la aplicación o servicio es el único medio facilitado al usuario para ejercitar tal derecho, no podrá condicionarse el acceso a la aplicación o servicio a la aceptación de las cookies no necesarias.
e) A través del formato de información por capas.
En el formato de información por capas que antes indicábamos, la primera capa, que contiene la información esencial, debe incluir también la petición del consentimiento para la utilización de las cookies.
En estos casos, el usuario manifiesta si acepta o no la utilización de las cookies al realizar o no la clara acción afirmativa de la que ha sido adecuadamente informado, y también es informado, de modo permanente, en la segunda capa sobre la utilización de las cookies y el modo de configurarlas y/o rechazarlas.
A estos efectos, y a modo de ejemplo, puede constituir consentimiento que el usuario, tras haber sido informado sobre el uso de cookies, clique en un botón de aceptación.
La información que se ofrezca en esta primera capa se podrá mostrar a través de un formato que sea visible para el usuario, como por ejemplo un banner, una barra o a través de técnicas o dispositivos similares, teniendo en cuenta que la localización en la parte superior de la página normalmente capta mejor la atención de los usuarios.
En los terminales de pantalla reducida se podrá adecuar el tamaño y el contenido de primera capa a las dimensiones de la misma.
f) A través de la configuración del navegador.
Tanto la Directiva sobre privacidad como la LSSI sugieren que la configuración del navegador podría ser una de las formas de obtener el consentimiento. Para que esta opción sea válida, la configuración del navegador debería poder utilizarse de forma que permita que los usuarios manifiesten su conformidad con la utilización de las cookies según lo dispuesto en el RGPD y teniendo en cuenta lo dictaminado por el CEPD, en sus directrices sobre el consentimiento, esto es, el consentimiento debería ser separado para cada uno de los fines previstos y la información que se facilita debería identificar a los responsables del tratamiento. A efectos de esta identificación, no será necesaria la denominación social completa, sino que será suficiente incluir la marca o nombre con el que el responsable se identifique de cara al público.
En dichos términos, la configuración del navegador sería una opción válida para obtener el consentimiento, pero no serviría como mecanismo único para que el usuario pueda denegar o revocar el consentimiento para el uso de cookies. El editor debe ofrecer al usuario, en todo caso, una fórmula para que pueda denegar o revocar el consentimiento prestado para el uso de cookies, a través de su propia página web o, en su caso, facilitar información sobre las herramientas proporcionadas, para la retirada del consentimiento, por los terceros que utilizan las cookies, para que el usuario pueda ejercer su derecho a retirar el consentimiento tan fácilmente como lo otorgó.
3.2.4. Consentimiento de menores de 14 años
Asimismo, en el caso de sitios web o servicios en línea específicamente dirigidos a menores, es conveniente recordar la necesidad de adoptar cautelas adicionales como son una mayor sencillez y claridad del lenguaje empleado.
Tratándose de menores de 14 años, el responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento para el tratamiento de datos personales fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias del tratamiento. Así, entre otros factores, a la hora de establecer medidas para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela, deberá considerarse el nivel de riesgo asociado a la utilización de las cookies (por ejemplo, teniendo en cuenta la naturaleza de los datos que se recopilan) y atenderse especialmente al principio de minimización de datos24 . A menor riesgo, más sencillo podrá ser el sistema de verificación implementado.
(24) En las directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, el CEPD lo expresa en los siguientes términos: “el Comité Europeo de Protección de Datos recomienda la adopción de un enfoque proporcionado, en consonancia con el artículo 8, apartado 2, y el artículo 5, apartado 1, letra c), del RGPD (minimización de datos). Un enfoque proporcionado puede ser centrarse en obtener una cantidad limitada de información”.
Por ejemplo, tratándose de usuarios no registrados de un sitio web dirigido a menores, si sus datos de dispositivo y de navegación se utilizan únicamente con fines analíticos, el consentimiento del titular de la patria potestad o tutela podría obtenerse previa advertencia o llamada dirigida al menor indicándole en la primera capa informativa que, si tiene menos de 14 años, antes de seguir navegando, avise a su padre, madre o tutor para que acepte, configure o rechace las cookies, evitando, por tanto, solicitar datos adicionales del menor o del titular de la patria potestad o tutela.
Ejemplo 1:
Si tienes menos de 14 años, pide a tu padre, madre o tutor que lea este mensaje.
Utilizamos cookies propias y de terceros para saber cómo utilizas nuestro sitio web y hacer estadísticas. Más información.
Tu padre, madre o tutor puede pulsar “aceptar” si consiente que utilicemos todas las cookies, o configurarlas o rechazar su uso AQUÍ.
Así, por ejemplo, podría preguntarse en primer lugar al usuario si tiene 14 años o más y, en caso de respuesta negativa, incluir el siguiente mensaje: ACEPTAR
Cuando el uso proyectado de los datos tenga por objeto recordar determinada información del usuario o su terminal para alterar automáticamente determinados aspectos de la navegación y personalizar su experiencia (por ejemplo, el idioma del sitio web o el aspecto con el que se presentan los contenidos), sin que llegue no obstante a elaborarse un perfil del menor, generalmente, y a falta del correspondiente análisis de riesgos conforme a las circunstancias concretas del caso, deberían adoptarse cautelas adicionales para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela.
Ejemplo 2:
Llama a tu padre, madre o tutor para que lea este mensaje y ponga en qué año nació:
[CAMPO PARA INCLUIR EL AÑO] (este dato no se almacenará, se utilizará solo para comprobar el consentimiento)
Utilizamos cookies propias y de terceros para saber cómo utilizas nuestro sitio web y hacer estadísticas, y también para personalizar tu visita (por ejemplo, cambiando el aspecto o idioma de nuestras páginas web o juegos). Más información.
Tu padre, madre o tutor puede pulsar “aceptar” si consiente que utilicemos todas las cookies, o configurarlas o rechazar su uso AQUÍ. ACEPTAR
El sistema del ejemplo debería ser capaz de detectar incidencias que lleven a la conclusión de que los datos introducidos no son correctos para, en tal caso, evitar la utilización de cookies hasta obtener el consentimiento del titular de la patria potestad o tutela. Podrían considerarse incidencias de este tipo las fechas que aún no hayan llegado, o que impliquen que el titular de la patria potestad o tutela no es mayor de edad o que tiene una edad tan avanzada que no es razonable que la persona siga con vida o tenga hijos menores de catorce años.
Los editores podrán utilizar cualesquiera fórmulas de verificación que sean razonables para verificar que el titular de la patria potestad o tutela es quien presta el consentimiento y no el menor de catorce años (por ejemplo, preguntas o captchas).
Usos de mayor riesgo que los indicados en los ejemplos 1 y 2 (por ejemplo, cuando se evalúen aspectos personales para predecir preferencias o intereses personales o para mostrar publicidad personalizada, especialmente si se comparten datos con terceros) podrían requerir solicitar información adicional de los padres o tutores a efectos de verificación (por ejemplo, un email de contacto al que el editor pueda remitir un correo electrónico con la finalidad de que se verifique la aceptación por los padres o el tutor del menor).
Sobre este particular ha de tenerse en cuenta que el GT2925 recomendó que las organizaciones deben abstenerse, en general, de elaborar perfiles sobre los niños con fines de mercadotecnia, dado que los niños representan un grupo más vulnerable de la sociedad. Por ello en aquellos casos en que el consentimiento no se preste por los padres o tutor del menor, por tener este más de 14 años, se recomienda a los editores abstenerse de utilizar cookies de publicidad comportamental en las webs dirigidas a menores o cuya audiencia esté compuesta mayoritariamente de menores.
Si el consentimiento para el uso de cookies se obtuviese durante el proceso de alta en un servicio, o en el contexto de otro proceso en el que se soliciten datos personales a los menores, como pueden ser el nombre y apellidos, una dirección de email u otros datos de contacto, en estos casos podrá solicitarse a efectos de verificación información adicional sobre los padres o tutores (por ejemplo, nombre y apellidos, una dirección de email con la finalidad anteriormente descrita, o una copia del documento nacional de identidad o documento equivalente) o pedir a estos que suscriban una declaración de consentimiento.
3.2.5. Cuándo pueden utilizarse y, en su caso, instalarse las cookies
Respecto al momento en el que hay que obtener el consentimiento para la utilización y, en su caso, instalación de las cookies debe recordarse que el artículo 22 de la LSSI señala que:
“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.
En consecuencia, la utilización de la cookie podrá tener lugar cuando el usuario disponga de la información preceptiva sobre las cookies y la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos indicados.
En este sentido, la utilización de las cookies debería ir acompañada por un consentimiento informado de los usuarios para tal utilización, de forma que los destinatarios tengan la oportunidad de examinar la información y decidir si aceptan o no la utilización de estos dispositivos.
(25) Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679. Adoptadas el 3 de octubre de 2017 y revisadas por última vez y adoptadas el 6 de febrero de 2018.
3.2.6. Obtención del consentimiento para el uso de cookies cuando un editor presta servicios a través de diferentes páginas
Un mismo editor que presta diferentes servicios a través de diferentes dominios podrá, a través de una sola página web, informar y obtener el consentimiento para la utilización de las cookies que se envíen desde el resto de dominios que sean de su titularidad y ofrezcan contenidos o tengan características similares, con motivo de la prestación de los servicios solicitados por el usuario, siempre que se informe, además de lo señalado anteriormente en el apartado sobre la información, sobre cuáles son las páginas web o dominios de su titularidad desde los que se van a enviar las cookies, el tipo de cookies y las finalidades para la que se tratan y se recaba el consentimiento del usuario.
En el caso de que las páginas a través de las que presta servicios un editor ofrezcan contenidos o tengan características que no sean similares (por ejemplo: algunas de las páginas contengan contenidos para adultos), será necesario adoptar cautelas adicionales.
3.2.7. Cambios en el uso de las cookies
Como regla general, siempre que un consentimiento haya sido obtenido de forma válida, no será necesario obtenerlo cada vez que un usuario visite de nuevo la misma página web desde la que se presta el servicio.
En todo caso, es evidente que si los fines de uso de las cookies o los terceros que hacen uso de las cookies cambian después de haber obtenido el consentimiento, será necesario actualizar la política de cookies y permitir a los usuarios tomar una nueva decisión.
3.2.8. Actualización del consentimiento
El CEPD, en sus directrices sobre el consentimiento, recomienda como mejor práctica la renovación del consentimiento a intervalos apropiados. Esta Agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.
3.2.9. Retirada del consentimiento para el uso de cookies
Los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento. A tal fin, el editor deberá asegurarse de que facilita información a los usuarios en su política de cookies sobre cómo pueden retirar el consentimiento y eliminar las cookies.
El usuario debe poder revocar el consentimiento de forma fácil. El sistema que se ofrezca para retirar el consentimiento debe ser tan fácil como el utilizado cuando se prestó. Se considerará que esa facilidad existe, por ejemplo, cuando el usuario tenga acceso sencillo y permanente al sistema de gestión o configuración de las cookies.
3.2.10. Posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies
Siguiendo las directrices del CEPD sobre el consentimiento, para que este se dé libremente, el acceso a los servicios y funcionalidades no debe supeditarse a la aceptación por el usuario del uso de cookies. Por ello, no podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento, tal y como se explica a continuación. Este criterio resulta especialmente importante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario, por ser, por ejemplo, el acceso a un sitio web el único medio facilitado al usuario para ejercitar tal derecho.
Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies.
Conforme establecen las Directrices 05/2020 sobre el consentimiento del CEPD, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.