CÓMO CUMPLIR CON LA NORMATIVA DE COOKIES
Hostal Ciudad Trigueros – www.hostaltrigueros.com
A) INTRODUCCIÓN
Tras las últimas modificaciones legales, es necesario el consentimiento previo de los usuarios de una página web para que esta pueda llevar a cabo la instalación de las cookies. En noviembre de 2019, la Agencia Española de Protección de Datos publicó una “Guía sobre el uso de las Cookies”, en la que se recogen las obligaciones que debe cumplir cualquier prestador de servicios que haga uso de estas tecnologías. Estas obligaciones pueden resumirse en dos: transparencia de la información y obtención del consentimiento.
01.- Cookies exentas
Antes de analizar el consentimiento como base de legitimación para el uso de cookies, conviene aclarar que no todas las cookies requieren de consentimiento para su utilización. Existen determinados tipos de cookies que se exceptúan a la regla general del consentimiento. Para determinar cuáles son las cookies exceptuadas, se ha de acudir al art. 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI):
«Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica
15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario».
En consecuencia, cuando una cookie tenga una finalidad técnica para prestar el servicio solicitado por el destinatario, no será necesario el consentimiento del usuario. Se considera que entran dentro de esta categoría:
• Controlar el tráfico y la comunicación de datos,
• identificar la sesión,
• acceder a partes de acceso restringido,
• recordar los elementos que integran un pedido,
• realizar el proceso de compra de un pedido,
• gestionar el pago,
• controlar el fraude vinculado a la seguridad del servicio,
• realizar la solicitud de inscripción o participación en un evento,
• contar visitas a efectos de la facturación de licencias del software con el que funciona el servicio (sitio web, plataforma o aplicación),
• utilizar elementos de seguridad durante la navegación,
• almacenar contenidos para la difusión de vídeos o sonido,
• habilitar contenidos dinámicos (por ejemplo, animación de carga de un texto o imagen)
• compartir contenidos a través de redes sociales,
• las que permitan la gestión eficaz de espacios publicitarios como elemento de diseño o maquetación (sin que recopile datos de usuarios con fines distintos como personalizar los anuncios).
También se consideran cookies exentas las de preferencias o personalización cuando sea el propio usuario el que elija las características, por considerarse un servicio expresamente solicitado por el usuario (siempre y cuando dicha cookie obedezca exclusivamente a esa finalidad).
02.- Consentimiento
Como norma general, para el uso de cookies, se exige que el consentimiento del usuario. La modalidad para prestar el consentimiento puede ser muy variada, y será válido siempre que se otorgue de manera libre e informada, por ejemplo:
a) Mediante la solicitud de alta en un servicio, siempre que el consentimiento de las cookies aparezca por separado y no se agrupe con los términos y condiciones del uso de la página web, la política de privacidad o las condiciones generales del servicio.
b) Durante el proceso de configuración del funcionamiento de la página web o aplicación. Muchas páginas web y aplicaciones móviles permiten al usuario configurar el servicio, pudiendo este configurar características como el idioma, el tipo de letra, el color de fondo de pantalla, acceso a determinada información del dispositivo… La utilización de las cookies también puede configurarse durante el proceso de elección o especificación por parte del usuario de las características.
c) A través de Plataformas de Gestión del Consentimiento (Consent Management Platform o
CMP), siempre y cuando estas plataformas:
> Cumplan los requisitos de transparencia frente a los usuarios.
> Obtengan un consentimiento válido de los usuarios.
> Respeten ulteriormente las opciones de consentimiento de los usuarios y permitir la gestión de esos consentimientos, incluida su revocación.
d) Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido, por ejemplo, en la página web, respetando los requisitos de transparencia y consentimiento válido.
e) A través del formato de información por capas. Se trata de uno de los formatos más utilizados. La primera capa contendrá la información esencial, debiendo incluir también la petición del consentimiento para la utilización de las cookies. En estos casos, el usuario manifiesta si acepta o no la utilización de las cookies al realizar o no la acción de la que ha sido claramente informado, y también es informado, de modo permanente, en la segunda capa sobre la utilización de las cookies y el modo de configurarlas y/o rechazarlas.
A estos efectos, podrá constituir consentimiento un clic del usuario en el botón de Acepto. En estos casos, resulta sencillo obtener la prueba de que el usuario ha consentido. La información que se ofrezca en la primera capa se podrá mostrar a través de un formato que sea visible para el usuario, como por ejemplo un banner, una barra o a través de técnicas o dispositivos similares, teniendo en consideración que la AEPD valora positivamente que la localización de la información se sitúe en la parte superior de la página, ya que normalmente capta mejor la atención de los usuarios.
f) A través de la configuración del navegador. Tanto la Directiva sobre privacidad como la LSSI sugieren que la configuración del navegador podría ser una de las formas de obtener el consentimiento. Para que esta opción sea válida, la configuración del navegador debería poder utilizarse de forma que permita que los usuarios manifiesten su conformidad con la utilización de las cookies según lo dispuesto en el RGPD y teniendo en cuenta lo dictaminado por el Grupo de Trabajo del Artículo 29 (‘GT29’) y refrendado por el Comité Europeo de Protección de Datos (‘CEPD’), esto es, el consentimiento debería ser separado para cada uno de los fines previstos y la información que se facilita debería nombrar a los responsables del tratamiento.
Este consentimiento debe constituir una clara acción afirmativa e inequívoca por parte del usuario, sería válido obtenerlo a través de una acción que sea evidente. En cambio, acciones que sean complejas o menos obvias que el uso de botones de aceptación, rechazo o configuración de cookies deberán ser debidamente informadas al usuario. En ningún caso, la navegación web, el desplazamiento o la mera inactividad del usuario puede implicar la prestación del consentimiento.
Consideramos que la forma más sencilla para el suministro de la información y la obtención del consentimiento por parte del usuario para la instalación de las cookies, es la llamada «información en dos capas» (termino introducido por la Agencia Española de Protección de Datos (AEPD) en su «Guía de cookies»).
03.- Transparencia de la Información
El apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos. Esta información debe facilitarse, como se ha indicado, con arreglo a lo dispuesto los arts. 13 RGPD-EU y 11 LOPDGDD, que requiere que el tratamiento de los datos de los usuarios se realice de forma transparente para ellos.
B) PRIMERA CAPA
01.- Modelos Recomendados
Esta información deberá ser visible cuando el usuario acceda a la página web. Recomendamos facilitar la información a través de un banner o pop up con alguno de los textos que a continuación se indican:
M1. Botones de ‘Acepto’ y ‘Rechazo’ de todas las Cookies
Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ.
ACEPTAR COOKIES RECHAZAR COOKIES
M2. Botón de ‘Acepto’ con posibilidad de configuración mediante enlace
Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica AQUÍ para más información. Puedes aceptar todas las cookies pulsando el botón ‘Aceptar’ o configurarlas o rechazar su uso clicando AQUÍ.
ACEPTAR COOKIES
M3. Botones de ‘Acepto’ y ‘Configuración’
Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica AQUÍ para más información. Puedes aceptar todas las cookies pulsando el botón ‘Aceptar’ o configurarlas o rechazar su uso pulsando el botón ‘Gestionar’.
ACEPTAR COOKIES CONFIGURAR
M4. Cookies con casilla para datos sensibles
Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ.
ACEPTAR COOKIES
RECHAZAR COOKIES
☐ Marca esta casilla si consientes que, para dichos fines de análisis y de elaboración de perfiles a partir de tus hábitos de navegación para mostrarte publicidad personalizada, utilicemos categorías especiales de datos.
(mencionar aquí las categorías especiales de datos que se utilicen en cada caso)
Insistimos que las cookies no se podrán instalar hasta que el usuario haya ACEPTADO EXPRESAMENTE las cookies. Si el usuario sigue navegando sin haber aceptado las cookies, debe entenderse que ha rechazado. La mera colocación de este aviso no es suficiente si las cookies se instalan en que el usuario accede a la página web o cuando navega a través de ella sin haber autorizado las mismas. La AEPD puede imponer sanción por no obtener el consentimiento.
02.- Configuración de primera capa: gestión de cookies
A la hora de habilitar la configuración de las cookies, y dependiendo de como se hayan configurado las mismas, deberá facilitarse al usuario determinada información. En todo caso, se deberán respetar una serie de reglas:
• Si existe un botón para aceptar todas las cookies, debe existir otro para rechazar todas.
• El enlace para configurar las preferencias de las cookies debe llevar directamente al panel de configuración, sin que el usuario deba buscarlo ni desplazarse por grandes cantidades de texto.
• En ningún caso deben figurar casillas premarcadas a favor de aceptar cookies.
• Si se utilizan métodos alternativos para la obtención del consentimiento que resulten menos obvios o más complejos que el uso de botones, debe explicarse de manera clara al usuario
• Para identificar a los proveedores, bastará con indicar su marca o nombre comercial. Se deberá facilitar, al menos, la siguiente información:
Cookies estrictamente necesarias: Siempre activo. Estas cookies son necesarias para que el sitio web funcione y no se pueden desactivar en nuestros sistemas. Por lo general, solo se configuran en respuesta a sus acciones realizadas al solicitar servicios, como establecer sus preferencias de privacidad, iniciar sesión o completar formularios. Puede configurar su navegador para bloquear o alertar sobre estas cookies, pero algunas áreas del sitio no funcionarán. Estas cookies no almacenan ninguna información de identificación personal.
Cookies dirigidas: Estas cookies pueden ser establecidas a través de nuestro sitio por nuestros socios publicitarios. Pueden ser utilizadas por esas empresas para crear un perfil de sus intereses y mostrarle anuncios relevantes en otros sitios. No almacenan directamente información personal, sino que se basan en la identificación única de su navegador y dispositivo de Internet. Si no permite utilizar estas cookies, verá menos publicidad dirigida.
• Cookies de personalización (¡)
+ Mostrar proveedores
ACEPTAR
RECHAZAR
• Cookies de publicidad comportamental (¡)
+ Mostrar proveedores
ACEPTAR
RECHAZAR
• Cookies analíticas (¡)
+ Mostrar proveedores
ACEPTAR
RECHAZAR
POLÍTICA DE COOKIES ACEPTAR TODAS RECHAZAR TODAS
Para evitar que el usuario tenga que desplazarse por grandes cantidades de texto para obtener la información sobre los tipos de cookies, se recomienda utilizar mecanismos abreviados, ya sea mediante desplegables, o mediante el uso de globos que muestren la información al pasar el ratón por encima del texto o imagen seleccionado. En cualquier caso, esta información deberá estar siempre disponible en la política de cookies. En caso de facilitar esta información en la primera capa, se recomienda utilizar alguno de los métodos anteriormente descritos.
03.- Modelos NO PERMITIDOS
Se deben descartar dos modelos de uso bastante generalizado:
0301. Aceptación mediante navegación o desplazamiento en el Sitio Web
Con anterioridad a la resolución del CEPD sobre el consentimiento, se permitía la posibilidad de otorgar el consentimiento mediante una acción por parte del usuario, como era navegar o desplazarse por la propia página. No obstante, el CEPD considera que dicho medio no cumple con los requisitos del consentimiento contemplados en el RGPD-EU, por cuanto tales acciones pueden ser difíciles de distinguir de otra actividad o interacción por un usuario y, por lo tanto, determinar que se ha obtenido un consentimiento inequívoco no es posible. Además, en estos supuestos es difícil proporcionar una forma para que el usuario retire el consentimiento de una manera que sea tan fácil como otorgarlo.
0302. Muros de Cookies (Cookie walls)
De manera similar, el CEPD indicó que para que el consentimiento se otorgue libremente, el acceso a los servicios y funcionalidades no debe estar condicionado al consentimiento de un usuario para el almacenamiento de información, o para obtener acceso a la información ya almacenada, en el equipo terminal de un usuario.
A modo de ejemplo, el proveedor de un sitio web implementa un script que bloquea el contenido para que no sea visible, excepto para una solicitud para aceptar cookies y la información sobre qué cookies se están configurando y con qué fines se procesarán los datos. No hay posibilidad de acceder al contenido sin hacer clic en el botón ‘Aceptar cookies’. Dado que al interesado no se le presenta una opción genuina, su consentimiento no se otorga libremente.
Por tanto, esto no constituye un consentimiento válido, ya que la prestación del servicio depende de que el interesado haga clic en el botón ‘Aceptar cookies’, sin que se le presente una elección genuina.
C) SEGUNDA CAPA: POLÍTICA DE COOKIES
La AEPD recomienda que la política de cookies sea independiente del Aviso Legal y de la Política de Privacidad. A este texto ha de remitir el enlace de la primera capa (‘política de cookies’).
En el Documento «Política de Cookies – Texto Recomendado» facilitamos una redacción posible de la Política de Cookies para Hostal Ciudad Trigueros.
Puede solicitar más información sobre Protección de Datos en DP-CONTROL:
dp-control@dp-control.es