En primer lugar, hay que dar una definición de cookies. Se puede señalar que “las cookies son pequeños archivos que se dejan automáticamente en su ordenador mientras navega por la web. En sí mismas, son inofensivas porciones de texto que se almacenan localmente y se pueden ver y
eliminar fácilmente.
Pero las cookies pueden dar una gran visión de sus actividades y preferencias, y se pueden utilizar para identificarlo sin su
consentimiento explícito.
Esto representa un incumplimiento grave desde un punto de vista legal, y a medida que las tecnologías de datos se vuelven cada vez más sofisticadas, su privacidad como usuario se ve cada vez más comprometida.
A menudo, las cookies ni siquiera provienen del sitio web que está visitando, sino de terceros que lo rastrean con fines de marketing. Todo esto sucede “entre bastidores”.
Aunque no todas las cookies se utilizan de manera que puedan identificar a los usuarios, la mayoría (y las más útiles para los propietarios de la web) lo hacen, y por lo tanto estarán sujetas al RGPD.
El problema con las cookies es tanto un problema de privacidad – ¿qué se está registrando? – como un problema de transparencia – ¿quién le está siguiendo, con qué propósito, hacia dónde van los datos, y por cuánto tiempo se queda?”
La nueva política de datos de la UE con el GDPR ha tenido influencia en el ámbito de las cookies. No podía ser menos. Aquí hay que señalar que “el Reglamento general de protección de datos considera p. ej. un
nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en redes sociales, información médica o una dirección IP de una computadora como datos personales.
Si su web u organización trata datos que son (a) directamente personales, o (b) que se puedan combinar o separarse para identificar a un individuo, entonces debe ser revisada para cumplir con los requisitos.
Mapee y evalúe los datos sensibles en su organización, revise sus políticas de seguridad y asegúrese que los datos sean seguros.
Los dos aspectos principales a tener en cuenta son:
- Cómo se almacenan en su organización los datos de los clientes y usuarios, y
- Las cookies en su sitio web (tanto de origen como de terceros).
Ajustar su política de cookies y su consentimiento del uso de cookies es una parte importante de este proceso.
¿Qué características deben estar presentes en un consentimiento del uso de cookies que cumpla con el RGPD?
Uno de los requisitos más tangibles del RGPD se encuentra en la definición de lo que constituye un consentimiento adecuado del uso de cookies, es decir, que el consentimiento debe ser:
- Informado: ¿Por qué, cómo y dónde se están utilizando los datos personales? Debe estar claro para el usuario, a qué le está dando consentimiento, y debe ser posible aceptar o rechazar los diversos tipos de cookies.
- Basado en una opción verdadera:
Esto significa, por ejemplo, que el usuario debe tener acceso a la web, aunque la mayoría, excepto las cookies estrictamente necesarias, hayan
sido rechazadas. - Otorgado a través de una acción afirmativa y positiva que no se pueda malinterpretar.
- Otorgado antes del tratamiento de cualquier tipo de datos personales.
- Movible: Debe ser fácil para el usuario cambiar de parecer y retirar el consentimiento.
Además,
- El usuario tiene el derecho al olvido. Cuando el usuario lo desee, todos sus datos personales deben borrarse correctamente.
- Todos los consentimientos dados deben registrarse como documentación”.
En cuanto la aplicación del GDPR a las cookies, se debe señalar que “como propietario de una web, tomar medidas para cumplir conlleva revisar su tratamiento de datos y asegurarse de que los datos personales se manejen de acuerdo con los nuevos reglamentos.
Consulte también la infografía de la Comisión Europea: Protección de datos: Mejores normas para las pequeñas empresas.
El Reglamento general de protección de datos considera p. ej. un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en redes sociales, información médica o una dirección IP
de una computadora como datos personales.
Si su web u organización trata datos que son (a) directamente personales, o (b) que se puedan combinar o separarse para identificar a un individuo, entonces debe ser revisada para cumplir con los requisitos.
Mapee y evalúe los datos sensibles en su organización, revise sus políticas de seguridad y asegúrese que los datos sean seguros.
Los dos aspectos principales a tener en cuenta son:
- Cómo se almacenan en su organización los datos de los clientes y usuarios, y
- Las cookies en su sitio web (tanto de origen como de terceros).
Ajustar su política de cookies y su consentimiento del uso de cookies es una parte importante de este proceso.
¿Qué características deben estar presentes en un consentimiento del uso de cookies que cumpla con el RGPD?
Uno de los requisitos más tangibles del RGPD se encuentra en la definición de lo que constituye un consentimiento adecuado del uso de cookies, es decir, que el consentimiento debe ser:
- Informado: ¿Por qué, cómo y
dónde se están utilizando los datos personales? Debe estar claro para el
usuario, a qué le está dando consentimiento, y debe ser posible aceptar
o rechazar los diversos tipos de cookies. - Basado en una opción verdadera:
Esto significa, por ejemplo, que el usuario debe tener acceso a la web
aunque la mayoría, excepto las cookies estrictamente necesarias, hayan
sido rechazadas. - Otorgado a través de una acción afirmativa y positiva que no se pueda malinterpretar.
- Otorgado antes del tratamiento de cualquier tipo de datos personales.
- Movible: Debe ser fácil para el usuario cambiar de parecer y retirar el consentimiento.
Además,
- El usuario tiene el derecho al olvido. Cuando el usuario lo desee, todos sus datos personales deben borrarse correctamente.
- Todos los consentimientos dados deben registrarse como documentación”.
Por último, cabe señalar que “con el Reglamento General de Protección de Datos debes examinar tu política sobre cookies y asegurarte de que cumple con los requisitos que establece.
El Reglamento e-Privacy, por otro lado, exige un consentimiento previo con conocimiento de los usuarios de tu página web. El RGPD te exige documentar cada
consentimiento.
Al mismo tiempo, debes ser capaz de rendir cuentas sobre el tipo de datos de usario que compartes en tu sitio web con terceros. Y sobre los lugares del mundo a los que se hayan enviado los datos del usuario.
Una política sobre cookies de acuerdo con el RGPD y el Reglamento e-Privacy debe cumplir con los siguientes requisitos:
Política de cookies transparente
Se debe informar al usuario claramente y en todo momento sobre el funcionamiento de las cookies en el sitio web.
Responsabilidad por el uso de cookies en la web
Pueden inspeccionarte y te pueden imponer la obligación de rendir cuentas exhaustivamente sobre los procesos de datos vinculados a tu sitio web. La complicación aquí está en que la mayoría de los sitios web cuentan con un gran número de cookies de terceros.
Consentimiento previo
Con el RGPD, el consentimiento del usuario debe tener lugar antes dela configuración de las cookies, de manera que inicialmente solo se establezcan las que sean estrictamente necesarias.
Consentimiento a través de una acción afirmativa
La principal novedad en el uso de cookies en relación al RGPD es que el consentimiento deberá otorgarse a través de una acción afirmativa evidente. Estamos acostumbrados a los banners en nuestros sitios web, informando del uso de cookies y a veces pidiendo el marcar la casilla del botón de ok, sin ofrecer ninguna otra opción.
Con estas nuevas normativas, esto no es suficiente. El consentimiento deberá otorgarse como una opción afirmativa y positiva, y el rechazo de cookies debe suponer una opción real.
Revocar el consentimiento
El usuario debe ser capaz de retirar su autorización.
Por eso, es importante asegurarse de que los usuarios tienen acceso a su declaración de consentimiento vigente en cualquier momento y de que pueden modificar los parámetros o retirar íntegramente su autorización.
Renovación del consentimiento
Cada 12 meses desde la primera visita del usuario al sitio debe renovarse el consentimiento.
Información en lenguaje sencillo
El uso de cookies debe ser transparente y debe dar una idea al usuario sobre el tratamiento de sus datos.
Por otro lado, la comunicación debe ser clara y fácil de entender para que el usuario disponga de una opción real.
Registro de consentimientos otorgados
Todos los consentimientos deben guardarse de forma segura de forma que puedan servir como prueba en caso de inspección.
Texto de cookies en WordPress
Si utilizas WordPress debes saber que es obligatorio también incluir la política de cookies. Para ello lo mejor es instalar un pluging que nos ayude con este texto.
Guía de la AEPD
La Agencia Española de Protección de
Datos (AEPD), en colaboración con las asociaciones adigital, Autocontrol
e IAB Spain, ha editado una Guía sobre el uso de cookies en España.
En el texto se reconoce la importancia técnica y económica que las cookies
tienen en el funcionamiento de internet. Pero al tiempo se advierte que su finalidad de almacenar y recuperar datos que se encuentran en el equipo del usuario, supone implicaciones importantes en relación con su privacidad. Por esta razón, los capítulos más importantes de la guía son aquellos que tratan sobre las obligaciones legales de las partes.