Cookies: consentimientos y su correcta configuración

Viernes, 15 Noviembre 2019 12:35
Publicado en Blog
Escrito por  Visto 835 veces
Valora este artículo
(3 votos)

Como consecuencia del nuevo paradigma normativo, la Agencia Española de Protección de Datos (en adelante, AEPD), ha publicado este pasado 8 de noviembre una nueva Guía sobre el uso de las cookies, con el fin de ofrecer las orientaciones oportunas para poder cumplir correctamente con la legislación en materia de protección de datos, a raíz de la plena aplicación del Reglamento General de Protección de Datos (en adelante, RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales, así como con el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).

El apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.

La información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.

Esta primera información se facilitará antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.

Uno de los mecanismos de información es acudir a la información por niveles o capas de forma que se muestre la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información más detallada y específica sobre las cookies.

Es importante señalar las MODALIDADES PARA LA OBTENCIÓN DEL CONSENTIMIENTO PARA EL USO DE LAS COOKIES que recoge la Guía, a fin de determinar aquellos métodos más apropiados para cumplir con la normativa, y que serían los siguientes:

  • Cuando se solicite el alta en un servicio, siempre y cuando el consentimiento se encuentre de manera separada y no se encuentre junto con el resto de las cláusulas legales de la web.
  • Durante el proceso de configuración del funcionamiento de la web o aplicación.
  • A través de plataformas de gestión del consentimiento, siempre y cuando éstas cumplan los requisitos y garantías necesarias, tales como:
    1. Informar previamente al usuario de una manera clara, cumpliendo así con los requisitos de transparencia.
    2. Obtener el consentimiento válido de los usuarios, mediante una clara acción afirmativa por parte de éstos.
    3. Respetar la solicitud del usuario en cuanto al consentimiento, así como proporcionarles los mecanismos necesarios y atender a su derecho de revocación del consentimiento.
  • Antes de proceder a la descarga de un servicio o aplicación en la web, salvo en el supuesto de que una web ofrezca contenidos audiovisuales, al entenderse que, en tal supuesto, el propio usuario ha sido quien ha solicitado expresamente el servicio, supuesto en el cual no sería necesario requerirle su consentimiento.
  • A través de la información en dos capas, debiendo incluirse en la primera capa la petición del consentimiento para el uso de las cookies.

Este mecanismo de información por capas es uno de los métodos más habituales empleados parte de los prestadores de servicios de la sociedad de la información a la hora de solicitar el consentimiento a los usuarios para la aceptación de las cookies, así como para informar acerca de la información básica (recogida en la primera capa) y la información adicional requerida (recogida en la segunda capa).

¿Qué deberá contener la primera capa?

Esta primera capa deberá contener la información esencial, y deberá incluir la petición del consentimiento para la utilización de las cookies.

La información que se ofrezca en esta primera capa se podrá mostrar a través de un formato que sea visible para el usuario:

  1. Un banner, una barra o a través de técnicas o dispositivos similares, teniendo en cuenta que la localización en la parte superior de la página normalmente capta mejor la atención de los usuarios.
  2. En los terminales de pantalla reducida se podrá adecuar el tamaño y el contenido de primera capa a las dimensiones de la misma.

La AEPD nos da varias opciones para esta primera capa informativa:

1.-Incorporar en el panel dos botones:

“Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ.”

                   ACEPTAR COOKIES                               RECHAZAR COOKIES

Si no se pulsa el botón “Aceptar cookies”, el usuario no está autorizando el uso de cookies (por lo tanto, no está legitimado el uso de cookies si el usuario no pulsa el botón para aceptar cookies y simplemente continúa navegando. ) siendo esta opción recomendable cuanto mayor sea el número distinto de cookies que se utilicen. 

 

 2.Otro ejemplo válido de primera capa, con el mismo tipo de cookies, sería el siguiente:

Aceptación las cookies pulsando un botón o configurarlas o rechazarlas clicando en un enlace que nos lleve al panel de configuración.

Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso clicando AQUÍ. (que nos lleve al panel de configuración)

                               
ACEPTAR

Como en el ejemplo anterior, si no se pulsa el botón “Aceptar”, el usuario no está autorizando el uso de cookies (por lo tanto, no está legitimado el uso de cookies si el usuario no pulsa el botón para aceptar cookies y simplemente continúa navegando).

3. La Guía establece una tercera modalidad como mecanismo de obtención de consentimiento para el uso de las cookies, y es, sin duda, la que más nos haya llamado la atención respecto a las indicadas ad supra, así como respecto a aquellas consideraciones de la propia AEPD, quién no contemplaba, hasta la publicación de la presente Guía, como consentimiento otorgado válidamente el hecho de que el usuario continuase navegando por la página web, sin haber consentido de manera expresa que acepta el uso de las cookies.

El ejemplo que propone la Guía como válido, aunque sometido a numerosos requisitos que veremos a continuación, sería el siguiente:

“Si continúas navegando, consideraremos que aceptas su uso. Puedes configurar o rechazar la utilización de cookies u obtener más información AQUÍ.”

No obstante, a pesar de este indicio de aceptación tácita, debemos indicar, en primer lugar, que no debemos confiarnos en primera instancia de este mecanismo, puesto que se deben cumplir con una serie de garantías y requerimientos para su validez:

  1. Si se utiliza la modalidad de “seguir navegando” como forma de obtención del consentimiento, deberá incluirse en el panel un botón para rechazar todas las cookies, para respetar el requisito de que sea tan fácil retirar el consentimiento como darlo.

  2. Para que la acción de continuar con la navegación pueda considerarse un consentimiento válido, el aviso deberá insertarse en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pueda existir seguridad de que el aviso no ha pasado desapercibido para el usuario.

  3. Está tercera opción, no será válido si en él además se incluye un mecanismo de aceptación explícita, como casillas o botones de aceptación.

  4. Es importante recordar que, cuando el consentimiento explícito sea necesario, esta modalidad no será válida en ningún caso.

Asimismo, será necesario, para que el consentimiento se considere otorgado, que el usuario realice una acción que pueda calificarse como una clara acción afirmativa:

  1. Navegar a una sección distinta del sitio web.
  2. Deslizar la barra de desplazamiento.
  3. Cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación.

Habrá movimientos que, si son lo suficientemente inequívocos, podrán considerarse acciones afirmativas. Determinados movimientos del ratón o la pulsación de teclas concretas, previa información al usuario, también pueden considerarse acciones afirmativas válidas para la obtención del consentimiento:

  1. Utilizar la barra de desplazamiento, siempre y cuando la información sobre las cookies sea visible sin hacer uso de esta.
  2. Clicar sobre cualquier enlace contenido en la página distinto del enlace a la segunda capa informativa sobre cookies y del enlace a la política de privacidad.
  3. En dispositivos como el móvil o la tablet, podrá entenderse que el usuario acepta cuando desliza la pantalla accediendo al contenido.

Además, el Grupo de Trabajo del Artículo 29 en sus Directrices sobre el consentimiento en virtud del Reglamento 2016/679)”, considera también como claras acciones afirmativas el “arrastrar una barra en una pantalla o saludar con la mane ante una cámara inteligente”. En estos supuestos, será el responsable quién deba demostrar que el consentimiento se obtuvo de tal modo. Asimismo, los interesados podrán revocar su consentimiento de una manera tan sencilla a como lo prestaron.

¿Qué información debe contener la segunda capa?

  1. Será necesario que la información de la primera capa se complete con un sistema o panel de configuración en el que el usuario pueda optar entre aceptar o no las cookies de forma granular, o un enlace que conduzca a dicho sistema o panel.
  1. El enlace o botón para administrar preferencias debe llevar al usuario directamente al panel de configuración, sin que tenga que desplazarse por grandes cantidades de texto buscando la información, que deberá seguir siendo accesible de forma permanente. El panel podrá integrarse en la segunda capa informativa.

Con todo, debemos ser conscientes de la importancia de cumplir con todos los requerimientos que la normativa nos exige en relación con la información facilitada al usuario en cada una de las capas, así como la importancia de proporcionar al usuario la opción de consentir, rechazar o configurar el uso de las cookies en su dispositivo.

  • Otorgar el consentimiento a través del navegador:

Para que esta opción sea válida, la configuración del navegador debería poder utilizarse de forma que permita que los usuarios manifiesten su conformidad con la utilización de las cookies según lo dispuesto en el RGPD:

  1. El consentimiento debería ser separado para cada uno de los fines previstos.
  2. La información que se facilita debería nombrar a los responsables del tratamiento.

Debemos resaltar que, en ningún supuesto, la mera inactividad del usuario se entenderá como prestación de su consentimiento.

El consentimiento, en todo caso, deberá otorgarse de una manera libre e informada, teniendo en cuenta que:

  • Permite una variedad de modalidades a la hora de la prestación del consentimiento.
  • El usuario deberá haber realizado algún tipo de acción que permite contemplar su clara intención de aceptación del uso de cookies.
  • El usuario deberá en todo caso haber sido informado previamente y de una manera clara sobre el uso y finalidad de las cookies.
  • El usuario ha de tener la opción de no aceptar las cookies.
  • La información acerca de las cookies se deberá encontrar separada de otro tipo de informaciones.

A modo de conclusión, debemos indicar que la Guía también destina un apartado específico para la regulación del consentimiento de menores de 14 años, debiendo establecer medidas adicionales en aquellas webs o servicios que vayan dirigidos a estos colectivos más vulnerables.

Como recomendación, la Guía indica que el menor de 14 años, antes de seguir navegando, deberá avisar a sus progenitores para que sean ellos quienes procedan a la configuración, aceptación o rechazo de las cookies, mediante una serie de ejemplos:

  • Si tienes menos de 14 años, pide a tu padre, madre o tutor que lea este mensaje. Utilizamos cookies propias y de terceros para saber cómo utilizas nuestro sitio web y hacer estadísticas. Más información.

Tu padre, madre o tutor puede pulsar “aceptar” si consiente que utilicemos todas las cookies, o configurarlas o rechazar su uso AQUÍ.

                                           ACEPTAR

  • Otra opción que planta la Guía es que los padres, madres o tutores indiquen el año en el que nacieron, pudiendo utilizar los editores cualquier tipo de fórmula de verificación razonable en aras de comprobar que el titular es quien está prestando el consentimiento y no el menor.

Si bien es cierto que es necesario proteger a los colectivos más vulnerables de la sociedad, como son los menores de 14 años, echamos en falta una mención y regulación específica dentro de la Guía al consentimiento relativo a las personas mayores, al entender que, en la actualidad, su grado de desconocimiento informático puede llegar a ser, en muchos supuestos, notoriamente superior al de los jóvenes y menores de edad.

Consideramos a tal efecto, que la Agencia debería tomar en consideración esta cuestión y establecer mecanismos análogos a aquellos dispuestos para los menores de 14 años, así como todas aquellas medidas dirigidas a garantizar que los consentimientos se otorguen de una forma libre y voluntaria.

Inicia sesión para enviar comentarios

Modificado por última vez en Viernes, 21 Febrero 2020 09:38

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal