Cómo adaptar tu web a las nuevas directrices del uso de las cookies

¿Qué ha ocurrido con las directrices europeas del uso de las cookies aprobadas en mayo de 2020? ¿Están las empresas cumpliendo con la normativa? Si todavía no lo has hecho, en este artículo encontrarás todo lo que necesitas saber para adaptar tu web y cumplir con el reglamento.

• Las Directrices 5/2020 desarrollaron una serie de novedades en política de aceptación de cookies. Además, establecieron nuevas obligaciones en la obtención del consentimiento del usuario por parte de las empresas.
• Te recordamos cuáles son los puntos más importantes y cómo debe mostrarse la información del usuario para cumplir el requisito del consentimiento informado.

Aunque la normativa del uso de las cookies entró en vigor hace más de un año, son muchas las páginas web que todavía no se han adaptado. Entre otros aspectos, el más evidente es que la mayoría no ofrecen la opción de rechazar las “famosas” cookies.

Algo sencillo de solucionar pero que, en el caso de no hacerlo, puede acarrear multas importantes por parte de una AEPD que está siendo muy exigente con el cumplimiento por parte de las pymes. Otro ejemplo de sanciones lo encontramos con la Asociación Europea por la Privacidad y los Derechos Digitales (Noyb). Un organismo que ha presentado recientemente más de 400 denuncias a webs del continente que incumplían el RGPD al no ofrecer la posibilidad de rechazo de las cookies.

¿Qué son las cookies?

Como sabes, son fragmentos de datos de un sitio web que se almacenan en el dispositivo con el que el accede a dicha página. Todas las empresas familiarizadas con el concepto o que funcionen con página web conocen bien el objetivo: ofrecer contenidos afines a los intereses del internauta.

Sin embargo, tras la revisión del texto legal en política de consentimiento, realizada por el Comité Europeo de Protección de Datos (CEPD), se desarrolló una nueva normativa que todas las empresas deben cumplir: las Directrices 05/2020. Por ello, y para armonizar el uso de las cookies con lo que dicta Europa, la AEPD actualizó la guía sobre el uso de cookies.

En los siguientes apartados te contamos los cambios en el uso de las cookies que las empresas debían implementar antes del 31 de octubre de 2020, para adaptarse a los nuevos criterios establecidos por la CEPD.

Las empresas tenían hasta el 31 de octubre de 2020 para adaptarse a las Directrices sobre consentimiento, modificadas en mayo de 2020 por Europa.

Ley de cookies: ¿a quién afecta?

El artículo 22 de la Ley de servicios de la sociedad de la información y de comercio electrónico (LSSI) deja claro que “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización”. Por lo tanto, serán los internautas quienes acepten las cookies cuando accedan a la web de cualquier empresa.

Además, los usuarios que “consientan” podrán hacerlo desde cualquier dispositivo electrónico desde el que naveguen, ya sea con PC, tablet, smartphone, etc.

Objetivo de la guía AEPD

Esta guía pretende orientar a las empresas sobre cómo utilizar las cookies y tecnologías similares (como local shared objects o flash cookies8, web beacons o bugs9, etc.) para almacenar y recuperar datos de un dispositivo electrónico de los usuarios en consonancia con las Directrices 5/2020. Además, estas normas también son de aplicación al empleo de técnicas de fingerprinting (técnicas de toma de la huella digital del dispositivo).

Si el consentimiento solicitado no se ajusta a la normativa, las empresas se enfrentan a multas de hasta 600.000€ en caso de infracciones muy graves.

Uso de las cookies: ¿Qué debo tener en cuenta?

La normativa sobre el uso de las cookies afecta fundamentalmente a tres aspectos: la validez de la opción “seguir navegando”, la forma de prestar el consentimiento y cómo se muestra la información.

1. La opción “seguir navegando”

El CEPD ha establecido que la opción “seguir navegando” no es una forma válida de prestar el consentimiento, ya que resulta difícil determinar a través de esta modalidad que el consentimiento es inequívoco. Por lo tanto, para que sea válido será necesario que el consentimiento haya sido otorgado de forma libre e informada.

Asimismo, al eliminarse la fórmula “seguir navegando”, también se modifica el apartado relativo a la información por capas, donde deben incluirse avisos de privacidad por niveles. De esta forma, el usuario puede acceder fácilmente a aquellos aspectos de la declaración o aviso que sean de mayor interés para él, así como completar la información esencial con una segunda página con información más detallada sobre las cookies. Por lo tanto, se evita la fatiga informativa, un perjuicio habitual que sufren los usuarios debido a las políticas de cookies que muchas empresas utilizan.

2. Los muros de cookies

Las webs que bloquean el acceso a los usuarios que no aceptan sus cookies y no ofrecen una alternativa a su consentimiento, infringen la ley. Estos bloqueos son conocidos como “muros de cookies”.

No obstante, hay supuestos en los que la no aceptación de las cookies puede impedir el acceso a la web, pero deben darse las siguientes condiciones:

• Siempre debe informarseal usuario de esta situación.
• La empresa ha de ofrecer una alternativa de accesoal servicio sin necesidad de aceptar las cookies.
• La alternativa a otro servicio no será válida si lo ofrece una entidad ajena al editor.

3. Cómo se muestra la información

Las empresas deberán mostrar al usuario, además de la definición y función genérica de las cookies, la siguiente información:

1. Qué tipo de cookiesse utilizan y su finalidad, ya sean tratadas por nosotros o por terceros.

Pueden ser:

• De análisis:aquellas que, siendo tratadas por la empresa o por terceros, miden el uso que hacen los usuarios del servicio. Para ello, se analiza su navegación a fin de mejorar la oferta y visionado de productos o servicios que le ofrecen.
• Publicitarias comportamentales:Como su propio nombre indica, analizan comportamientos de navegación, para que se le muestre al usuario publicidad relacionada con su perfil de navegación.

2. Quién utiliza las cookies.Deberá identificarse quién trata la información, ya sea:

• • El propio editor.
  • Terceroscon lo que el editor haya contratado la prestación de un servicio para el cual se requiera el uso de cookies.

Reglamento ePrivacy, en “stand by”

Además del RGPD, en vigor desde mayo de 2018, la forma en la que los sitios web pueden instalar cookies en los navegadores se regula a través de la ePrivacy de 2002, una Directiva europea con un desarrollo insuficiente y poco claro en materia de comunicaciones electrónicas.

Más conocida como Ley de Cookies, la directiva europea ePrivacy preveía la entrada en vigor a lo largo de 2020, pero en febrero de 2021 el Consejo de la UE acordó un texto final para comenzar una negociación.

¿Cómo afecta a las empresas?

El nuevo Reglamento supondrá un paso más para potenciar la economía digital y la confianza de los usuarios en los servicios digitales, y todas aquellas empresas que tengan negocios online tendrán que cumplirlo.

Objetivo

Internet no conoce fronteras, por lo que se pretende que las empresas no tengan que enfrentarse a limitaciones internacionales en Internet, al menos, a nivel europeo.

Sectores involucrados

Las propuestas se dirigen fundamentalmente a negocios del sector online, entre los que se incluyen los proveedores de software de aplicaciones como Skype, Facebook o WhatsApp, hasta ahora excluidos de la legislación vigente.

¿Qué proponen las autoridades europeas con la Regulación ePrivacy en relación a las cookies?

Uno de los objetivos de la inminente reforma en el Reglamento ePrivacy es simplificar las normas de las cookies, ya que las actuales saturan al usuario al recibir excesivas solicitudes de autorización cuando accede a cualquier web.

Un ejemplo lo encontramos en las llamadas “cookies invasivas”, que son enviadas al dispositivo electrónico por entidades ajenas a la página que se está visitando. Las cookies, en este caso, se usan para rastrear a los usuarios por internet y recopilar información sobre ellos. Una vez recopilada, comienza el contraataque, por ejemplo, mostrando publicidad personalizada de los anunciantes, una práctica que ha generado gran preocupación porque invade la privacidad de las personas.

¿Cómo deben proceder los gestores de las webs para evitar esta “invasión”?

Cuando las propuestas europeas se materialicen en leyes, las empresas deberán dejar de aplicar el opt-out (método por el que las cookies se instalan por defecto, donde los usuarios solo pueden rechazar el almacenamiento con posterioridad al acceso), para adoptar el opt-in (con el que las cookies solo se instalan cuando el usuario lo consiente expresamente).

¿En qué fallan las empresas españolas en el cumplimiento de la Ley de Cookies?

La mayoría de las webs españolas cometen errores muy comunes que deben detectarse a tiempo para evitar sanciones. Para identificar estas deficiencias, existen servicios de auditorías que sirven de gran ayuda a las empresas y que deben contratarse antes de implantar cualquier medida relacionada con la política de cookies.

Instalar cookies sin consentimiento del usuario es una de las conductas empresariales más extendidas.

A continuación, te facilitamos un listado de los errores más habituales que cometen las empresas a la hora de aplicar la ley de cookies:

• Imposibilitar el accesoal usuario a la página web por no prestar consentimiento.
• Dar información insuficiente sobre las finalidades en el tratamientode los datos recabados.
• Errores en los procedimientos previstos para rechazar la instalacióntotal o parcial de las cookies en los dispositivos de los usuarios.
• Dificultar al usuario la revocación del consentimiento.
• No aclarar si las cookiesutilizadas son propias o de terceros.
• Proporcionar información compleja al usuario, cuando ha de ser clara y concisa.

Las normas sobre la privacidad en el entorno online que se están poniendo en marcha pretenden facilitar al usuario el rechazo de las cookies “prescindibles” y permitir su regulación en la configuración del navegador, de forma que solo se utilicen si los usuarios las aceptan expresamente.

Sin embargo, nos encontramos ante un escenario extraordinariamente dinámico en cuanto a cómo se entiende la privacidad de unos internautas cada vez mejor informados y más protegidos. Esta situación nos lleva a plantearnos si, finalmente, habrá un mundo sin cookies de terceros o si será el propio usuario quien, en un futuro no muy lejano, gestione la publicidad e información que recibe en sus dispositivos electrónicos.

Nota del editor: Este artículo fue publicado en 2020 y actualizado a 2021 por su relevancia.