Según las define INCIBE (Instituto Nacional de Ciberseguridad) las cookies son pequeños ficheros que almacenan información enviada por un sitio web y que se guardan en nuestro propio equipo, de manera que el sitio web puede consultar la actividad previa del usuario.
Tienen diversas funciones, como podrían ser:
- Llevar el control de usuarios mediante el almacenamiento del nombre de usuario y la contraseña.
- Recabar información de los hábitos de navegación de los usuarios, este es el caso que más quebraderos de cabeza puede producir, ya que podría suponer un ataque a la privacidad de los usuarios.
Hay diversos tipos de cookies, algunos de ellos esenciales para el correcto funcionamiento de cualquier sitio web. Sin embargo, hay otras que pueden derivar en grandes amenazas, y por ello, cada vez el legislador es más consciente de la necesidad de proteger al usuario, dando lugar a diversas regulaciones como es el caso de la que a continuación vamos a describir.
El pasado Julio de este mismo año, la AEPD (Agencia Española de Protección de Datos) publicó una nueva guía sobre el uso de las cookies introduciendo nuevas medidas:
1-. Consentimiento informado del usuario.
Lo que conocemos como “primera capa de información” o “banner de cookies”, debe estar correctamente dispuesto, respetando el principio de transparencia en la información y en el consentimiento en sí mismo. Se deben evitar formulaciones tales como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, así como “podemos utilizar sus datos personales para ofrecer servicios personalizados”
Además, las opciones de “ACEPTAR”, “RECHAZAR” y “CONFIGURAR”, deben ser igualmente accesibles en todos los casos y dispuestas con el mismo formato.
2-. Tipos de Cookies.
Las cookies técnicas o necesarias son aquellas en las que es el propio usuario quien toma decisiones sobre ellas (por ejemplo, la elección del idioma de la web o la moneda en la que desea realizar transacciones), se consideran cookies que no requieren de consentimiento, sin que puedan ser utilizadas para otras finalidades.
Si es el editor el que decide sobre ellas, basándose en la información que obtiene del usuario, deberá informar sobre ello ofreciendo de forma destacada la opción de aceptarlas o rechazarlas. En este caso, el editor tampoco podría utilizarlas para otras finalidades.
3-. Modalidades de obtención del consentimiento.
Existen distintos mecanismos para la obtención del consentimiento:
- Al solicitar el alta en un servicio.
- Durante el proceso de configuración del funcionamiento de la página web o aplicación.
- A través de plataformas de gestión del consentimiento (consent management plataforma o CMP).
- Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido, por ejemplo, en la página web.
- A través del formato de información por capas
- A través de la configuración del navegador.
4-. Sitios web dirigidos a menores.
En el caso de sitios web o servicios en línea específicamente dirigidos a menores, es conveniente recordar la necesidad de adoptar cautelas adicionales como son una mayor sencillez y claridad del lenguaje empleado.
Tratándose de menores de 14 años, el responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento para el tratamiento de datos personales fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias del tratamiento.
4-. Retirada del consentimiento para el uso de cookies.
Los usuarios deberán poder retirar el consentimiento previamente otorgado, fácilmente, en cualquier momento. A tal fin, el editor deberá asegurarse de que facilita información a los usuarios en su política de cookies sobre cómo pueden retirar el consentimiento y eliminar las cookies.
5-. Posibilidad de denegación de acceso al servicio en caso de rechazo de cookies.
El acceso a los servicios y funcionalidades no debe supeditarse a la aceptación por el usuario del uso de cookies. Por ello, no podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento, tal y como se explica a continuación. Este criterio resulta especialmente importante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario, por ser, por ejemplo, el acceso a un sitio web el único medio facilitado al usuario para ejercitar tal derecho.
Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies.
Esta guía indica la necesidad de realizar estas modificaciones para salvaguardar la seguridad del usuario. Deja un plazo de 6 meses, pudiendo trabajar en ello hasta enero de 2024, fecha en la que todo deberá estar correctamente dispuesto.