logo cabecera

             siguenos fb               Banner comedor escolar    medulacifraimagen whatsapp

Cookies. CEPD

Descarga de documentos: Anexo 11B. Cookies. CEPD.pdfAnexo 11B. Cookies. CEPD.pdf

COOKIES

El Grupo de Trabajo del artículo 29 (GT29) era el grupo de trabajo europeo independiente que se venía ocupando de cuestiones relacionadas con la protección de la privacidad y los datos personales hasta el 25 de mayo de 2018 (fecha de entrada en aplicación del RGPD) y que a partir de entonces fue sustituido por el Comité Europeo de Protección de Datos (CEPD) organismo de la Unión Europea (UE) responsable de la aplicación del Reglamento general de protección de datos (RGPD) a partir de la citada fecha.

El Grupo de Trabajo del artículo 29 (GT29) estableció ya en su Dictamen 15/2011, con el objetivo de garantizar una información adecuada, dos requisitos que afectan, por un lado, a la calidad de la información y, por otro lado, a la accesibilidad y visibilidad de la misma.

En relación con la calidad de la información facilitada el GT29 señala que debe partirse de que el nivel de conocimiento de los usuarios sobre las cookies y su gestión es muy reducido, por lo que la información facilitada ha de ser lo más clara posible, evitando recargar la información con detalles innecesarios que hagan farragosa su lectura.

En relación con la accesibilidad y visibilidad de la información sobre cookies, el GT29 recomienda el uso de alguno de estos sistemas:

a.- El suministro de información a través de una barra de encabezamiento o en el pie de página, de forma suficientemente visible.

b.- Al solicitar el alta en un servicio, o antes de descargar un servicio o una aplicación, podrá suministrarse esta información junto con la política de privacidad, o en los términos y condiciones de uso del servicio.

c.- La información por capas. Este sistema consiste en mostrar la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información adicional sobre las cookies.

 
   


PRIMERA CAPA

En la primera capa se ha de incluir la siguiente información:

$1a)      Identificación del editor responsable del sitio web. No es necesaria la denominación social, siempre que sus datos identificativos completos figuren en otras secciones del sitio web (aviso legal, política de privacidad, etc.) y su identidad pueda desprenderse de forma evidente del propio sitio web (p.ej., cuando el propio dominio se corresponda con el nombre del editor o la marca con la que se identifica frente al público o dicho nombre o marca figuren claramente en el sitio web)

$1b)     Las finalidades de las cookies que se instalan.

$1c)      Si las cookies son propias (del responsable de la página web) o también de terceros asociados a él, sin que sea necesario identificar a los terceros en esta primera capa.

$1d)     Información genérica sobre el tipo de datos que se van a recopilar y utilizar en caso de que se elaboren perfiles de los usuarios (p.ej., cuando se utilicen cookies de publicidad comportamental).

$1e)     Modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies

$1f)       Un enlace claramente visible dirigido a una segunda capa informativa en la que se incluya una información más detallada, utilizando, por ejemplo, el término “Cookies”, “Política de cookies” o “Más información, pulsa aquí”. El panel de configuración de cookies podrá estar integrado en esta segunda capa, siempre que, al facilitar acceso al mismo (p.ej., desde un botón o enlace incluido en la primera capa), ese acceso sea directo, esto es, que el usuario no tenga que navegar dentro de esta segunda capa para localizar el panel de configuración.

Esta información se facilitará antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.

En conexión con el punto e) anterior de esta primera capa informativa, esta deberá contener:

$11.      Un botón o mecanismo equivalente, fácilmente visible, con las palabras “Aceptar cookies”, “Aceptar”, “Consentir” o textos similares, para consentir el uso de todas las cookies.

$12.      Un botón o mecanismo equivalente, similar al anterior (si se utiliza un botón para aceptar, deberá utilizarse un botón para rechazar), con las palabras “Rechazar cookies”, “Rechazar” o textos similares, para rechazar el uso de cookies (salvo aquellas que estén exentas de la obligación de obtener un consentimiento informado, las denominadas cookies técnicas o necesarias).

$13.      Un botón o mecanismo equivalente, claramente visible, pero no necesariamente similar a los anteriores, que despliegue o lleve a un panel de configuración que permita aceptar o rechazar las cookies de forma granular, al menos en función de su finalidad.

Se considera una buena práctica, el que este panel de configuración no se incluya cuando solo se utilicen cookies para una finalidad y, por lo tanto, el usuario solo pueda elegir entre aceptar o rechazar las cookies correspondientes a esa finalidad.

No obstante, dado que las cookies que se utilizan pueden variar con el tiempo, el panel de configuración y el mecanismo de acceso al mismo podrán mantenerse incluso cuando no sean estrictamente necesarios, para así evitar cambios recurrentes en el aviso de cookies y los costes que ello puede conllevar.

En cualquier caso:

$1·        No se podrá dar al usuario la impresión de que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web.

$1·        No se podrá empujar claramente al usuario a aceptar las cookies.

$1·        El color o contraste del texto y los botones (o    mecanismos equivalentes) no podrán ser obviamente engañosos para los usuarios, de forma que lleven a un consentimiento involuntario.

            

Sobre el panel de configuración

El panel de configuración permite seleccionar las cookies (aceptándolas o rechazándolas) de forma granular, al menos en función de su finalidad.

Para facilitar dicha selección, en el panel podrán además implementarse dos botones, uno para seleccionar todas las categorías de cookies y otro para rechazarlas todas si el usuario las ha seleccionado previamente, siendo esta opción recomendable cuanto mayor sea el número distinto de categorías en las que se hayan clasificado las cookies. Si el usuario guarda su elección sin haber seleccionado ninguna cookie, equivaldrá al rechazo de todas las cookies. Debe recordarse que en ningún caso son admisibles las opciones premarcadas a favor de aceptar cookies para obtener un consentimiento válido.

El grado de granularidad a la hora de mostrar la selección de cookies es algo que debe valorar el editor del sitio web, si bien el CEPD aconseja que se tengan en cuenta las siguientes reglas:

$11.      Las cookies deberían agruparse al menos por su finalidad, de forma que el usuario pueda aceptar las cookies para una o más finalidades y, en cambio, no para otra u otras (p.ej., el usuario podría elegir aceptar las cookies analíticas y no así las publicitarias comportamentales).

$12.      Dentro de cada finalidad, y a elección del editor del sitio web, las cookies podrían agruparse también en función del tercero responsable de las mismas (p.ej., el usuario podría elegir aceptar las cookies analíticas de un determinado tercero y no así las de otro).

$13.      En relación con las cookies de terceros: es suficiente con identificar a estos por su nombre o por la marca con la que se identifican de cara al público, sin incluir la denominación social completa.

$14.      Debe evitarse el grado máximo de granularidad (laselección cookie a cookie, incluso dentro de la misma finalidad), ya que el exceso de información dificulta la toma de decisiones.

SEGUNDA CAPA

La segunda capa, que debe encontrarse disponible de forma permanente en el sitio web, recoge la “Política de cookies”, en la que se incluye información transparente, completa y detallada sobre las misma, de manera que el usuario pueda prestar su consentimiento sabiendo y entendiendo las finalidades de las mismas y el uso que se dará a los datos que las mismas recojan.

Información que debe incluirse en la segunda capa o “Política de cookies”

$11.      Definición y función genérica de las cookies.

$12.      Información sobre el tipo de cookies que se utilizan y su finalidad.

Cuando no sea posible para el editor ofrecer una explicación suficiente sobre la finalidad de las cookies utilizadas por terceros o la forma de eliminarlas, puede facilitar esta información incluyendo un enlace a la página web del tercero.

$13.      Identificación de quién utiliza las cookies.

Esto es, si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros con los que editor haya contratado la prestación de un servicio para el cual se requiera el uso de cookies, con identificación de estos últimos.

No es necesario que la información concreta sobre los terceros (es decir, su nombre o marca y, en su caso, el enlace a la información que ofrece sobre sus cookies) sea directamente visible en la política de cookies, sino que podrán utilizarse mecanismos como botones que desplieguen esa información.

$14.      Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies.

Si el sistema de gestión o configuración de las cookies del editor no permite evitar la utilización de las cookies de terceros una vez aceptadas por el usuario, se facilitará información sobre las herramientas proporcionadas por el navegador y los terceros y se deberá advertir que, si el usuario acepta cookies de terceros y posteriormente desea eliminarlas, deberá hacerlo desde su propio navegador o el sistema habilitado por los terceros para ello. P.ej.: “Tenga en cuenta que, si acepta las cookies de terceros, deberá eliminarlas desde las opciones del navegador o desde el sistema ofrecido por el propio tercero”.

$15.      En su caso, información sobre las transferencias de datos a terceros países realizadas por el editor.

La opinión del GT29 sobre este punto, refrendada por el CEPD, es que debe especificarse el artículo del RGPD que permite la transferencia, identificar a los terceros países y proporcionar información sobre dónde y cómo se puede acceder a la decisión de adecuación o a las garantías adecuadas o apropiadas, incluidas las normas corporativas vinculantes, que, en su caso, permitan la transferencia. En ausencia de estas, se debe informar al usuario del riesgo de realizar la transferencia sin nivel de adecuación o de garantías apropiadas, si se pretende obtener su consentimiento explícito.

Respecto de las transferencias que, en su caso, realicen terceros, será válida la remisión a la información que faciliten esos terceros.

              

$16.      Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario, será necesario que se informe sobre la lógica utilizada, así como la importancia y las consecuencias previstas de dicho tratamiento para el usuario en los términos establecidos en el artículo 13.2 f) del RGPD.

$17.      Periodo de conservación de los datos para los diferentes fines en los términos establecidos en el artículo 13.2 a) del RGPD

$18.      En relación con el resto de información (exigida por el artículo 13 del RGPD) que no se refiera de forma específica a las cookies (p.ej., los derechos de los interesados), el editor podrá remitirse a la política de privacidad.

¿Qué se entiende por “transparencia” referida a la provisión a los usuarios de información relativa al uso de cookies?

$1       i.          La información debe ser concisa, para evitar el cansancio informativo, e inteligible de forma que pueda ser entendida por un usuario medio.

$1      ii.          Se ha de utilizar un lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje. En este sentido:

$1a.      No se consideran válidas frases como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias comportamentales.

$1b.      También deben evitarse términos vagos como “puede”, “podría”, “algún”, “a menudo”, y “posible”.

$1     iii.          La información ha de ser de fácil acceso. El usuario no debe buscar la información, sino que debe ser evidente para él dónde y cómo puede acceder a ella, como cuando se proporciona un enlace claramente visible que dirige directamente a la información bajo un término de uso común como “Política de cookies” o “cookies”.

Guía de Guía sobre el uso de las cookies de la AEPD (v. enero 2024)

3 puntos clave para adaptar nuestra política de cookies

Aceptar o rechazar cookies. Tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas.

Es obligatorio que la información de la primera capa (banner de cookies o plataforma de gestión del consentimientos -o CMP, por sus siglas en inglés-) incluya la opción de rechazar las cookies. Por consiguiente, se suprimen los banners o CMPs que daban dos únicas opciones: ‘ACEPTAR’ o ‘CONFIGURAR COOKIES’, obligando al usuario a entrar en la configuración y rechazar el uso de las cookies.

La Guía incluye nuevos ejemplos sobre cómo deben mostrarse estas opciones ofreciendo indicaciones sobre, entre otros, el color, tamaño y lugar en el que aparecen.

Cookies de personalización.

$11.      Cuando es el propio usuario quien toma decisiones sobre ellas (p.ej, elección del idioma de la web o la moneda en la que desea realizar transacciones), estamos ante cookies técnicas que no requieren de consentimiento, siempre que no se utilicen para otras finalidades.

$12.      Cuando es el editor el que adopta este tipo decisiones sobre las cookies de personalización basándose en la información que obtiene del usuario deberá informar sobre ello ofreciendo de forma destacada la opción de aceptarlas o rechazarlas. Tampoco en este caso el editor puede utilizarlas para otras finalidades.

Posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies (Muros de cookies). Para que el consentimiento se dé libremente, el acceso a los servicios y funcionalidades no debe supeditarse a la aceptación por el usuario del uso de cookies. Por ello, no podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento.

La nueva versión de la Guía aclara que dicha alternativa de acceso al servicio, sin necesidad de aceptar el uso de cookies, no tendrá por qué ser necesariamente gratuita. Es por ello que, desde el 11 de enero de 2024, fecha en la que entraron en vigor los nuevos criterios de la Agencia recogidos en la Guía, numerosos sitios web te dan dos opciones:

$1·        Navegar con cookies

$1·        Pagar para poder navegar de modo privado, sin cookies.