Novedad importante – nueva sentencia sobre política de cookies


El Tribunal de Justicia de la Unión Europea, a través de la Sentencia del asunto C-673/17, ha proporcionado unas directrices claras para un correcto cumplimiento del RGPD en relación a la información facilitada y consentimiento otorgado en las políticas de cookies.

Dada la relevancia de este tema, en este boletín semanal os resumiremos de forma práctica cómo establecer un correcto protocolo sobre la política de cookies que debemos incluir en nuestra página web si las utilizamos para una finalidad concreta.

¿Qué son las cookies? ¿Tratan datos personales?

Las cookies son pequeños archivos de texto que se almacenan en el directorio del navegador de nuestro ordenador cuando las aceptamos. Estos archivos pueden tratar, o no, datos personales, por lo tanto, en la medida en que estos puedan ser accedidos por terceras empresas, deberán ser protegidos en cumplimiento de la normativa.

La igualdad de trato ante la información almacenada o consultada por las cookies en el ordenador del usuario sean o no datos personales, la tenemos acreditada a través de los artículos 2 f) y 5.3 de la Directiva 2006/136 y artículos 4, punto 11 y 6, apartado 1, letra a), del Reglamento 2016/679, y del considerando 24 de la Directiva 2002/58.

Todo ello interpretado en la Sentencia del TJUE 673/17 en el punto 2 de la declaración del citado tribunal, donde se dice expresamente que “no deben interpretarse de manera diferente en función de que la información almacenada o consultada en el equipo terminal del usuario de un sitio de Internet sean o no datos personales en el sentido de la Directiva 95/46 y del Reglamento 2016/679.”

¿Cómo dar fiabilidad al tratamiento de los datos personales que usen las cookies?

Para que el uso de las cookies de una web sea realizado de forma adecuada, tal y como nos expone la STJUE C-673/17, debemos disponer del consentimiento del usuario mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado, mismos términos que recoge el considerando 32 del RGPD en relación con el consentimiento prestado.

Para que esta manifestación de voluntad sea acorde a la legislación, y pueda considerarse, por ende, un acto afirmativo, no deberemos disponer de botones pre-marcados por defecto, de forma que el usuario deba marcar expresamente en caso de que desee dar su consentimiento para que se puedan utilizar cookies en su dispositivo. Tampoco es válido el disponer del consentimiento a través de silencio o de inacción del usuario.

¿Cómo anunciar y solicitar al usuario el uso de cookies?

En el caso de que vuestro sitio web utilice cookies sobre las que sea necesario informar y obtener el consentimiento, esta información deberá estar a disposición del usuario de forma clara y completa, con carácter permanente y en un lugar accesible y visible del sitio web, por ejemplo en el footer de la página junto con el resto de avisos legales. Asimismo, para la instalación y utilización de las cookies no exentas, como decíamos, el usuario deberá haber otorgado su consentimiento expreso para su uso.

¿Qué cookies están exentas?

Quedan exceptuadas de estos requisitos según el artículo 22.2 LSSICE y el Dictamen 4/20123 del Grupo de Trabajo del Artículo 29 las cookies utilizadas para alguna de estas finalidades:

  • Permitir únicamente la comunicación entre el equipo del usuario y la red.
  • Estrictamente prestar un servicio expresamente solicitado por el usuario.
  • Cookies de entrada del usuario.
  • Cookies de autenticación o identificación de usuario (únicamente de sesión).
  • Cookies de seguridad del usuario.
  • Cookies de sesión de reproductor multimedia.
  • Cookies de sesión para equilibrar la carga.
  • Cookies de personalización de la interfaz de usuario.

¿Qué debo incluir en mi web si utilizo cookies no exentas?

Desde nuestro punto de vista, recomendamos adoptar un sistema de información por capas basado en:

1) Primera capa: banner informativo

Para elaborar la primera capa (mediante un banner o pop-up emergente de cookies), se deberá evitar incluir cualquier tipo de información que pueda generar confusión o ambigüedad, como por ejemplo: “utilizamos cookies para personalizar su contenido” o “para mejorar su navegación” o fórmulas similares y, como hemos dicho, frases como ‘si continua navegando por nuestra web entendemos que otorga su consentimiento…’.

El contenido de esta primera capa (banner) debe contener:

  • La identidad del responsable del tratamiento.
  • La indicación del uso de cookies tanto propias como de terceros.
  • La finalidad de las cookies utilizadas (analíticas, publicitarias, si elaboran perfiles, etc.).
  • Un enlace a la segunda capa Política de Cookies propiamente dicha.
  • Un botón que facilite ACEPTAR la instalación de las cookies.

Y, finalmente, se puede incluir un botón en el mismo banner que permita RECHAZAR TODAS las cookies o incluir un botón CONFIGURAR COOKIES que nos lleve a un panel de gestión de las mismas.

Este sería un ejemplo de banner (se tendría que personalizar en cada caso):

banner-cookies-rgpd-pymelegal

2) Segunda capa: panel de gestión de cookies

En este panel intermedio, donde accederemos al clicar en el botón CONFIGURAR COOKIES debemos permitir al usuario:

  • Seleccionar (con un check o botón) las cookies que permitimos pudiendo seleccionar solo las cookies que nos interesen.
  • Seleccionar RECHAZAR TODAS para inhabilitar todas las cookies.
  • Ir a la POLÍTICA DE COOKIES completa para ampliar info.

Este panel intermedio de selección/activación de las cookies de forma independiente se puede gestionar mediante alguno de los plugin disponibles en el mercado (revisar que cumplan con estas nuevas prescripciones) o a través de programación (código).

3) Tercera capa: política de cookies En esta tercera capa (política de cookies) se incluirá toda esta información:

  • Nombre de las cookies.
  • Finalidad de las cookies.
  • Caducidad.
  • Proveedor de las cookies.
  • La forma de desactivar o eliminar las cookies enunciadas en los principales navegadores web.
  • Podría integrarse en esta capa el panel de configuración de cookies mencionado en el apartado anterior.
  • Información relacionada con el tratamiento de datos personales prevista en el artículo 13 RGPD, que habrá de ofrecerse de forma concisa, transparente, inteligible y con un lenguaje claro y sencillo.

Cualquier duda estamos a vuestra disposición,
El equipo de PymeLegal.