Novetat important – nova sentència sobre política de cookies


El Tribunal de Justícia de la Unió Europea, a través de la Sentència de l’assumpte C-673/17, ha proporcionat unes directrius clares per a un correcte compliment del RGPD en relació a la informació facilitada i consentiment atorgat en les polítiques de galetes.

Donada la rellevància d’aquest tema, en aquest butlletí setmanal us resumirem de forma pràctica com establir un correcte protocol sobre la política de galetes que haurem d’incloure en la nostra pàgina web si les utilitzem per a una finalitat concreta.

Què són les galetes? Tracten dades personals?

Les galetes són petits arxius de text que s’emmagatzemen en el directori del navegador del nostre ordinador quan les acceptem. Aquests arxius poden tractar, o no, dades personals, per tant, en la mesura en què aquestes poden ser accedides per terceres empreses, hauran de ser protegides en compliment de la normativa.

La igualtat de tracte davant la informació emmagatzemada o consultada per les galetes a l’ordinador de l’usuari siguin o no dades personals, la tenim acreditada a través dels articles 2 f) i 5.3 de la Directiva 2006/136 i articles 4, punto 11 i 6, apartat 1, lletra a), del Reglament 2016/679, i del considerant 24 de la Directiva 2002/58.

Tot això interpretat en la Sentència del TJUE 673/17 en el punt 2 de la declaració del citat tribunal, on es diu expressament que “no s’han d’interpretar de manera diferent en funció de què la informació emmagatzemada o consultada en l’equip terminal de l’usuari d’un lloc d’Internet siguin o no dades personals en el sentit de la Directiva 95/46 i del Reglament 2016/679.”

Com donar fiabilitat al tractament de les dades personals que usen les galetes?

Per a què l’ús de les galetes d’un web sigui realitzat de forma adequada, tal com ens exposa la STJUE C-673/17, hem de disposar del consentiment de l’usuari mitjançant un acte afirmatiu clar que reflecteixi una manifestació de voluntat lliure, específica, informada i inequívoca de l’interessat, mateixos termes que recull el considerant 32 del RGPD en relació amb el consentiment prestat.

Per a què aquesta manifestació de voluntat resti d’acord a la legislació, i pugui considerar-se, per tant, un acte afirmatiu, no haurem de disposar de botons pre-marcats per defecte, de manera que l’usuari hagi de marcar expressament en el cas que desitgi donar el seu consentiment per a què es puguin utilitzar galetes en el seu dispositiu. Tampoc serà vàlid el disposar del consentiment a través del silenci o de l’inacció de l’usuari.

Com anunciar i sol.licitar a l’usuari l’ús de galetes?

En el cas que el vostre lloc web utilitzi galetes sobre les que sigui necessari informar i obtenir el consentiment, aquesta informació haurà d’estar a disposició de l’usuari de forma clara i completa, amb caràcter permanent i en un lloc accesible i visible del lloc web, per exemple, en el footer de la pàgina junt amb la resta d’avisos legals. Així mateix, per a la instal.lació i utilització de les galetes no exemptes, com comentàvem, l’usuari haurà d’haver atorgat el seu consentiment exprés per al seu ús.

Quines galetes estan exemptes?

Queden exceptuades d’aquests requisits segons l’article 22.2 LSSICE i el Dictamen 4/20123 del Grup de Treball de l’Article 29 les galetes utilitzades per a alguna d’aquestes finalitats:

  • Permetre únicament la comunicació entre l’equip de l’usuari i la xarxa.
  • Estrictament prestar un servei expressament sol.licitat per l’usuari.
  • Galetes d’entrada de l’usuari.
  • Galetes d’autenticació o identificació d’usuari (únicament de sessió).
  • Galetes de seguretat de l’usuari.
  • Galetes de sessió de reproductor multimèdia.
  • Galetes de sessió per equilibrar la càrrega.
  • Galetes de personalització de la interfície d’usuari.

Què haig d’incloure en el meu web si utilitzo galetes no exemptes?

Des del nostre punt de vista, recomanem adoptar un sistema d’informació per capes basat en:

1) Primera capa: banner informatiu

Per elaborar la primera capa (mitjançant un banner o pop-up emergent de galetes), s’haurà d’evitar incloure qualsevol tipus d’informació que pugui generar confusió o ambigüetat, com per exemple: “utilitzem galetes per a personalitzar el seu contingut” o “per a millorar la seva navegació” o fòrmules similars i, com hem dit, frases com ‘si continua navegant pel nostre web entenem que atorga el seu consentiment…’.

El contingut d’aquest primera capa (banner) ha de contenir:

  • La identitat del responsable del tractament.
  • La indicació de l’ús de galetes tant pròpies com de tercers.
  • La finalitat de les galetes utilitzades (analítiques, publicitàries, si elaboren perfils, etc.).
  • Un enllaç a la segona capa Política de Galetes pròpiament dita.
  • Un botó que faciliti ACCEPTAR la instal.lació de les galetes.

I, finalment, es pot incloure un botó en el mateix banner que permeti REBUTJAR TOTES les galetes o incloure un botó CONFIGURAR GALETES que ens porti a un panell de gestió de les mateixes.

Aquest seria un exemple de banner (s’haurà de personalitzar en cada cas):

banner-cookies-rgpd-pymelegal

2) Segona capa: panell de gestió de galetes

En aquest panell intermig, on accedirem al clicar en el botó CONFIGURAR GALETES haurem de permetre a l’usuari:

  • Seleccionar (amb un check o botó) les galetes que permetem podent seleccionar només les galetes que ens interessin.
  • Seleccionar REBUTJAR TOTES per inhabilitar totes les galetes.
  • Anar a la POLÍTICA DE COOKIES completa per ampliar info.  

Aquest panell intermig de selecció/activació de les galetes de forma independent es pot gestionar mitjançant algun dels plugin disponibles en el mercat (revisar que compleixin amb aquestes noves prescripcions) o a través de programació (codi).

3) Tercera capa: política de galetes

En aquesta tercera capa (política de galetes) s’inclourà tota aquesta informació:

  • Nom de les galetes.
  • Finalitat de les galetes.
  • Caducitat.
  • Proveïdor de les galetes.
  • La forma de desactivar o eliminar les galetes enunciades en els principals navegadors web.
  • Podria integrar-se en aquesta capa el panell de configuració de galetes anomenat en l’apartat anterior.
  • Informació relacionada amb el tractament de dades personals prevista en l’article 13 RGPD, que haurà d’oferir-se de forma concisa, transparent, intel.ligible i amb un llenguatge clar i senzill.

Per qualsevol dubte, restem a la vostra disposició,
L’equip de PymeLegal.