Cookies para principiantes: guía de uso, necesidad y cumplimiento

¿No siente a veces que en Internet funciona de formas misteriosas? ¿Le resulta difícil encontrar explicación a ciertas cosas, como por ejemplo, la avalancha de anuncios que recibe de productos que sólo vio “al pasar” unos días antes? Ya sea un experto en tecnología o no, si usted navega en Internet, seguro ha visto pop-ups que requieren la aceptación del uso de "Cookies". ¿Usted acepta el uso de cookies sin más o se toma el trabajo de leer la política? Son precisamente estas cookies las responsables de la publicidad dirigida que usted encuentra en línea.

Las cookies son una herramienta indispensable para las estrategias de marketing digital de las organizaciones (grandes y pequeñas), no sólo porque sirven para dirigir fácilmente los anuncios a la audiencia adecuada sino también porque se utilizan para analizar la efectividad de las campañas de mercadotecnia. Para más información, lea nuestra entrada sobre marketing digital.

En esta entrada, explicaremos los tipos de cookies y su regulación según el RGPD y la Directiva y daremos algunos consejos útiles para implementarlas en su sitio web.

¿Qué son las cookies?

Según la Oficina del Comisionado de Información (ICO, por sus siglas en inglés), las cookies son pequeños archivos alfanuméricos que se almacenan en un dispositivo cuando el usuario accede a ciertos sitios web. Las cookies se guardan en el sitio web de origen y permiten que el sitio reconozca el dispositivo del usuario. Existen diferentes tipos de cookies que se utilizan con fines diversos y que almacenan datos personales por períodos de tiempo diferentes.

¿Cuáles son los tipos de cookies?

Las cookies se utilizan principalmente para adaptar las campañas de los sitios web, analizar el comportamiento de los usuarios y dirigir los anuncios al público adecuado. Las cookies almacenan la información de la visita, su duración y los elementos vistos por el usuario en un sitio web determinado.

Las cookies se pueden clasificar según su vida útil y según el dominio al cual están ligadas. Además, la vida útil de las cookies nos puede ayudar a decidir si una cookie determinada es necesaria o no.

Según la vida útil, podemos distinguir:

  1. Cookies de sesión: en general, son un tipo de cookies necesarias ya que permiten la transmisión de la comunicación o que un usuario pueda moverse de una página a otra en un sitio web. Estas cookies se eliminan automáticamente cuando el usuario cierra el navegador o cuando caduca la sesión; y
  2. Cookies persistentes: son un tipo de cookies en el que los datos siguen almacenados en el ordenador/disco duro durante un período de tiempo determinado.

Según el dominio al cual están ligadas, podemos distinguir:

  1. Cookies propias: son gestionadas por el servidor del sitio web visitado y comparten el mismo dominio;
  2. Cookies de terceros: son gestionadas por un tercero y almacenadas en un dominio que es distinto al del sitio web visitado.

¿Qué legislación debe tener presente al utilizar cookies?

Como las cookies son identificadores únicos de un ordenador, permiten rastrear los movimientos en línea de ese ordenador en particular y recoger datos personales. Por ello, debe aplicarse el Régimen europeo de protección de datos personales. Esto incluye el Reglamento General de Protección de Datos, es decir, el RGPD, y la legislación que regula la privacidad en las comunicaciones electrónicas, es decir, la Directiva 2002/58/CE modificada por la Directiva 2009/136/CE (Directiva sobre la privacidad) y la legislación local correspondiente de cada Estado miembro.

¿Cuál es la base jurídica del tratamiento de datos personales con cookies?

En la mayoría de los casos, la Directiva sobre la privacidad exige el consentimiento previo del usuario para el tratamiento de datos personales con cookies y tecnologías de seguimiento similares. Y aclara que los requisitos de consentimiento son los establecidos en el RGPD. Para obtener más información sobre este tema, consulte nuestra entrada sobre el consentimiento.

El Artículo 5(3) de la Directiva sobre la privacidad establece que “[...] únicamente se permitirá el uso de las redes de comunicaciones electrónicas con fines de almacenamiento de información o de obtención de acceso a la información almacenada en el equipo terminal de un abonado o usuario a condición de que se facilite a dicho abonado o usuario información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE y de que el responsable del tratamiento de los datos le ofrezca el derecho de negarse a dicho tratamiento[...]”.

Según esta disposición, para instalar cookies en el dispositivo/navegador de un usuario, ya sean propias o de terceros, es imprescindible tener el consentimiento previo e informado del usuario. Las aplicaciones que utilizan cookies o tecnologías similares también deben cumplir con la Directiva. Sin embargo, hay ciertas cookies que pueden estar exentas del requisito de consentimiento en virtud de la Directiva y/o de la legislación local sobre privacidad.

¿Existen casos en los que se pueden instalar cookies sin el consentimiento previo del usuario?

Sí. Las cookies que son estrictamente necesarias (en general, las cookies de sesión) se pueden instalar sin el consentimiento previo ya que facilitan la transmisión de la comunicación o la prestación de un servicio.

Esta excepción está plasmada en el Artículo 5(3) de la Directiva sobre la privacidad:

“[...] Esto no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar o facilitar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de proporcionar a una empresa de información un servicio expresamente solicitado por el usuario o el abonado”.

Por ejemplo, las cookies propias que “rastrean” la información que ingresa un usuario durante un compra electrónica son necesarias para la prestación de un servicio. Por lo tanto, el consentimiento no sería necesario. Sin embargo, incluso en este caso, es importante facilitar información suficiente a los usuarios sobre estas cookies.

Los Estados miembro, a través de la legislación local sobre privacidad, pueden admitir otras excepciones al requisito de consentimiento. Por ejemplo, según la Ley de Telecomunicaciones de los Países Bajos [Telecommunicatiewet], el consentimiento no es necesario cuando se utilizan tecnologías para recoger datos sobre la calidad y la efectividad de un servicio solicitado y cuando tienen poco o ningún efecto sobre la privacidad del usuario. De hecho, la autoridad de control neerlandesa da pautas específicas para el uso de Google Analytics sin causar perjuicio alguno a la privacidad. Estas diferencias entre las legislaciones de los Estados miembro desaparecerán con la aplicación del tan esperado Reglamento sobre la privacidad y las comunicaciones electrónicas.

¿Qué debo hacer si quiero instalar cookies en el ordenador de un usuario?

Como explicamos más arriba, para instalar una cookie o cualquier otro identificador similar en el ordenador de un usuario es necesario contar previamente con su consentimiento. El desafío consiste en implementar medidas que garanticen que el consentimiento del usuario se obtenga de acuerdo con el RGPD.

El Reglamento define el consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta el tratamiento de datos personales que le conciernen” Para más información sobre este tema, consulte nuestra entrada sobre el consentimiento.

El usuario debe expresar su consentimiento haciendo clic en un botón o realizando alguna acción similar. También puede hacerlo mediante el consentimiento implícito, aunque este es más complicado y requiere asegurarse de que el usuario ha recibido información clara y pertinente sobre el acceso al sitio. ICO afirma que “para estar seguro, el proveedor debe cerciorarse de que los usuarios pueden acceder fácilmente a información clara que explique qué ocurre cuando el accede al sitio y qué opciones tiene para controlar eso que sucede”. El consentimiento implícito debe ser el resultado de un acuerdo compartido entre usted como propietario del sitio web y los usuarios.

La configuración del navegador es otra alternativa viable si le permite al abonado dar su consentimiento para las cookies. Sin embargo, la mayoría de los navegadores de hoy no tienen esa opción. Por lo tanto, no es posible basarse solamente en la configuración del navegador, aunque esto puede cambiar cuando entre en vigor el Reglamento sobre la privacidad.

Un caso reciente que ilustra lo complicado que es obtener el consentimiento en virtud del RGPD es el uso de cookies en el sitio web del Washington Post. El Washington Post obligaba a los lectores a aceptar el uso de cookies de terceros, la publicidad dirigida o a obtener una suscripción mediante el pago de una tarifa determinada. El 19 de noviembre de 2018, ICO advirtió que esta forma de obtener el consentimiento del usuario infringía el Artículo 7(4) del RGPD: no le permitía a los lectores dar su consentimiento libremente ya que el acceso a sus servicios quedaba supeditado a dicho consentimiento.

Consejos útiles: ¿por dónde empezar?

A continuación, les daremos algunos consejos útiles para el uso de cookies:

  1. Analice qué tipo de cookies y tecnologías similares utiliza y cómo las utiliza. Identifique las cookies que requieren consentimiento y las que ya no son necesarias.
  2. Evalúe qué tan intrusivo es el uso de cookies y en qué casos necesita consentimiento. Tenga en cuenta que si sus cookies son muy intrusivas, tendrá que pensar en cambiar la forma en que las utiliza. Puede verificar el nivel de intrusismo de las cookies que utiliza analizando su efecto sobre la intimidad de los individuos. ICO sugiere separar las cookies en dos: por un lado, las cookies neutrales en cuanto a la intimidad y, por otro, los usos más intrusivos de la tecnología. De esta manera, podrá ocuparse de las más intrusivas.
  3. Explore alternativas para obtener el consentimiento del usuario. Elija la forma más práctica, pero que a la vez sea compatible con la legislación vigente.
 

Soumya Patnaik

Asesora de Protección de Datos 

Elif Kaya
Asistente jurídica