El uso de cookies en los sitios web y en las aplicaciones está condicionado al consentimiento del usuario. Pero para que este consentimiento sea lícito, el titular del sitio debe informar con transparencia acerca del tratamiento que hacen las cookies de los datos personales, a fin de que el usuario pueda aceptarlas con pleno conocimiento de la transcendencia de cada una de ellas.
Así lo estipula el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI):
Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal…
En otras palabras, son dos las obligaciones que tiene el propietario del sitio web: la obligación de informar con transparencia sobre el uso de las cookies y la obligación de recoger el consentimiento del usuario para el tratamiento de sus datos. Ambos deberes configuran el requisito del consentimiento informado.
Esta obligación no solo se encuentra en el la LSSI sino también en la Ley orgánica 3/2018, de 15 de diciembre, de protección de datos personales y garantías a los derechos digitales, tal como lo indica su preámbulo:
El Título III, dedicado a los derechos de las personas, adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento y recoge la denominada «información por capas» ya generalmente aceptada en ámbitos como el de la video vigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las «cookies»), facilitando al afectado la información básica, si bien, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
Ambas normas, están en sintonía con el Reglamento General de Protección de Datos (RGPD)de la Unión Europea y la Directiva sobre la Privacidad y las Comunicaciones Electrónicas conocida como Ley de Cookies o Directiva ePrivacy.
Deber de transparencia
El titular de la web debe suministrar información completa sobre cada una de las cookies que utiliza el sitio a fin de que el usuario conozca sus peculiaridades: tipo de cookies, finalidad de las cookies, tratante de las cookies, tiempo de uso, entre otras. Asimismo, deberá informar acerca de la manera de revocar el consentimiento.
El artículo 5, apartado 3, de la Directiva 2002/58, en su versión modificada por la Directiva 2009/136, debe interpretarse en el sentido de que la información que el proveedor de servicios debe facilitar al usuario de un sitio de Internet incluye el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas.
Sentencia del Tribunal de Justicia de la Unión Europea de 1 de octubre de 2019, asunto C-673/17, prejudicial planteada por el Tribunal Supremo de lo Civil y Penal de Alemania
En cuanto a la forma, la información debe ser redactada en forma concisa, clara y sencilla. Por lo tanto, se debe evitar el uso de términos técnicos y legales que puedan ser difíciles de entender para el usuario promedio. También el uso de frases que desvirtúen la claridad del mensaje porque generan confusión e induce a los usuarios a aceptar las cookies sin comprender sus consecuencias.
Además, la información debe ser accesible. El usuario antes y después de aceptar o rechazar las cookies debe tener acceso a toda la información de forma fácil y disponible en cualquier momento. Para esto, el sitio web puede implementar el banner de consentimiento de cookies y el enlace a la política de cookies, por ejemplo.
Por último, la información se debe mostrar por capas para evitar que el usuario se agobie. En una primera capa se mostraría la información fundamental y en la segunda se ampliaría la información con las particularidades de cada cookie.
Los Estados miembros velarán por que únicamente se permita el uso de las redes de comunicaciones electrónicas con fines de almacenamiento de información o de obtención de acceso a la información almacenada en el equipo terminal de un abonado o usuario a condición de que se facilite a dicho abonado o usuario información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE y de que el responsable del tratamiento de los datos le ofrezca el derecho de negarse a dicho tratamiento…
Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de junio de 2002 sobre la privacidad y las comunicaciones electrónicas. Artículo 5.3.
Deber de consentimiento
El usuario debe autorizar el uso de cookies. Para que el consentimiento sea válido, además de informado, debe ser otorgado de forma libre, específica e inequívoca.
El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento…
Reglamento general de protección de datos (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016. Considerando 32
Consentimiento explícito
Para dar su consentimiento, el usuario debe realizar una acción manifiesta y afirmativa, que no ponga en duda su voluntad.
El proceso por el cual los usuarios podrían manifestar su consentimiento para las cookies sería a través de una acción positiva u otro comportamiento activo, siempre que hayan sido completamente informados de lo que representa esa acción. Por lo tanto, los usuarios pueden manifestar su consentimiento, ya sea haciendo clic en un botón o enlace o marcando una casilla en o cerca del espacio donde se presenta la información (si la acción se realiza junto con la información proporcionada sobre el uso de cookies) o por cualquier otro comportamiento activo del que el operador de un sitio web pueda concluir inequívocamente que significa consentimiento específico e informado.
Documento de trabajo 2/2013 que brinda orientación sobre cómo obtener el consentimiento para las cookies del Grupo de trabajo del artículo 29 (GT Art. 29)
Por tanto, no se acepta el consentimiento implícito o sobreentender que el usuario consintió el empleo de las cookies en el sitio web por hacer scroll o haber comenzado a navegar en él sin haber autorizado el uso de las cookies de manera clara y determinante. Esto significa que no se puede deducir una elección activa del silencio o la inactividad del interesado.
Consentimiento granular
El titular del sitio web debe darle al usuario la posibilidad de autorizar el uso de cookies de acuerdo a sus preferencias para que no se vea obligado a aceptar o rechazar todas las cookies, únicamente. En otras palabras debe darle la opción de administrar o seleccionar las cookies que autoriza mediante la configuración de cookies.
Consentimiento libre
Los usuarios son los únicos que deben escoger, de forma activa, qué cookies aceptan. Por ello, el banner debe evitar tenerlas seleccionadas a favor de su aceptación porque obliga al usuario a desactivarlas para no consentir su uso.
Tampoco se permite el uso de muro de cookies —cookie walls— que bloquean el acceso al sitio web hasta tanto el usuario acepte todas las cookies. Este tipo de banner no permite que el usuario tenga libertad para escoger sus preferencias, sino que se las impone. Esto no constituye un consentimiento válido.
Rechazo de cookies
El usuario no solo debe tener la posibilidad de autorizar el uso de cookies, sino también de rechazarlas de acuerdo a sus intereses. La ausencia de la opción de rechazar, declinar, denegar o cualquier otro término similar que le permita al usuario no consentir el uso de cookies es contraria a los requisitos de consentimiento válido, dado que el usuario se ve forzado a aceptarlas.
Retirada del consentimiento
Para que el consentimiento sea lícito, también se debe brindar a los usuarios la posibilidad de revocar el consentimiento otorgado, de forma fácil, en cualquier momento. En tal sentido, el sitio web deberá informar al usuario cómo puede retirar el consentimiento y eliminar las cookies de su navegador, así como ofrecer un mecanismo permanente y de fácil acceso para tal fin como, por ejemplo, el uso de icono flotante para acceder a la plataforma de gestión de consentimiento de cookies, cuando desee.
¿Cuándo se debe solicitar el consentimiento?
El consentimiento informado debe solicitarse antes de instalar las cookies en el dispositivo del usuario. Por lo tanto, cuando un usuario ingresa al sitio web se deben bloquear los scripts de cookies o retrasar su carga hasta que el usuario apruebe su uso de forma explícita.
Exoneración de consentimiento
Las cookies estrictamente necesarias están exceptuadas del consentimiento informado porque son indispensables para el servicio que el usuario ha requerido de manera explícita así como para la intercomunicación de los terminales y la red. Por lo general, este tipo de cookies son temporales porque caducan cuando el usuario cierra el navegador web.
Entre este tipo de cookies se encuentran las cookies de entrada del usuario que tienen la finalidad de recordar sus datos mientras navega por el sitio y las cookies de seguridad que evitan el uso fraudulento de sus credenciales.
Para aplicar la excepción hay que tomar en cuenta la finalidad de la cookie, no su denominación o características técnicas. En caso de duda, lo recomendable es solicitar el consentimiento informado, ya que la incorrecta clasificación de la cookie podría transgredir la normativa de privacidad.
… el criterio básico para determinar si la exención es aplicable debería ser siempre la finalidad del cookie más que una de sus características técnicas.
…Tras un examen detallado, si persisten serias dudas sobre el cumplimiento o no de los criterios de exención, los operadores del sitio web deberían considerar atentamente si existe la posibilidad práctica de obtener el consentimiento de los usuarios de manera sencilla y discreta, evitando así cualquier forma de inseguridad jurídica.
Grupo de Trabajo sobre Protección de Datos del artículo 29 de la Directiva 95/26/CE. Dictamen 4/2012 sobre la exención del requisito de consentimiento de cookies, adoptado el 7 de junio de 2012.
Por tanto, para usar las demás tipos de cookies será necesario brindar la información completa y requerir el consentimiento para su uso.
Prueba del consentimiento
El responsable del sitio web debe ser capaz de demostrar que el usuario otorgó su consentimiento para el uso de cookies. En consecuencia, es indispensable llevar un registro válido de los consentimientos obtenidos para probar ante las autoridades de protección de datos el cumplimiento de la normativa de privacidad.
Ejemplo de esta obligación es la sanción de 120 000 EUR que impuso la agencia italiana de datos a una empresa que no pudo demostrar que recogía el consentimiento. A pesar de no tratarse de un caso de cookies, puede ser aplicado por analogía.
En líneas generales, estos son los requisitos que debe cumplir los sitios web para poder usar las cookies no esenciales.
Existen en el mercado diferentes soluciones para ayudar a los propietarios de los sitios a cumplir con las exigencias normativas, entre ellas se encuentran las plataformas de gestión de consentimiento de cookies que permiten, a través de una ventana emergente, informar al usuario sobre el uso de cookies en la web y recoger su consentimiento. Además llevan el registro de los consentimientos otorgados y ofrecen otras funciones. Para saber más sobre esta herramienta lee el artículo XXX