¿Cumple tu empresa con la nueva normativa sobre cookies?

Ago 30, 2023 | Actualidad

Desde junio de 2024 es obligatorio adaptarse a las nuevas directrices sobre el uso de cookies marcadas por la Unión Europea y que inciden en los patrones engañosos. ¿Cumple tu empresa la norma sobre el uso de cookies? Desde el Área de Protección de Datos de Tomarial podemos asesorarte para que tu página web se adecúe perfectamente a la normativa vigente en España. Te resumimos en esta guía práctica cómo ha de ser el uso correcto de las cookies.

Puntos clave sobre el uso de las cookies

  • Necesario ofrecer siempre al usuario en 1ª capa (banner) la posibilidad de rechazar todas las cookies, aceptarlas o configurarlas a su elección (desplegando panel de configuración). Es decir, se precisarán tres botones para elegir en el banner.
  • La opción «Rechazar» debe ser visible y no ocultarse bajo colores, letras o tamaños que impidan su localización.
  • No incorporar combinaciones de colores que incitan a aceptar (por ejemplo «aceptar» en verde fosforito y «rechazar», «configurar» en un color más suave).
  • No puede haber casillas premarcadas en el panel de configuración.
  • No se permiten referencias indebidas al interés legítimo como base legal para instalar cookies (expresiones imprecisas del tipo «para mostrarte contenido personalizado» «mejorar tu experiencia», etc.)
  • No se puede indicar que las cookies son técnicas en el panel de configuración cuando en realidad necesitan consentimiento.
  • Como buena práctica, se recomienda habilitar un botón flotante en la web para acceder al panel de configuración de cookies en cualquier momento. Debe estar siempre disponible y lo más a la vista posible. Debe ser igual de fácil dar consentimiento que retirarlo (o gestionarlo). Y ello se debe explicar en el texto de POLÍTICA DE COOKIES.
  • Deberá tenerse en cuenta que una misma cookie puede tener más de una finalidad (cookies polivalentes), por lo que existe la posibilidad de que una cookie quede exceptuada del ámbito de aplicación del artículo 22.2 de la LSSI para una o varias de sus finalidades y no para otras, quedando estas últimas sujetas al ámbito de aplicación de dicho precepto. Esto debería incitar a los propietarios de sitios web a utilizar una cookie diferente para cada finalidad. Deberá garantizarse que estas cookies únicamente se utilizan si se aceptan todas las finalidades que agrupan, es decir, si una cookie sirve para dos finalidades, pero el usuario solo acepta una de ellas, la cookie no debería utilizarse, y ello salvo que el sistema de gestión utilizado permita dar un tratamiento diferenciado a las distintas finalidades de estas cookies polivalentes, de forma que sea posible que si el usuario acepta una de sus finalidades y no otras, la cookie solo opere con la finalidad aceptada.
  • Se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos. La información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.

Medidas obligatorias en el uso de cookies

  • No se podrá dar al usuario la impresión de que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web
  • No se podrá empujar claramente al usuario a aceptar las cookies
  • El color o contraste del texto y los botones (o mecanismos equivalentes) no podrán ser obviamente engañosos para los usuarios, de forma que lleven a un consentimiento involuntario. No será válido, por ejemplo, que la opción para rechazar las cookies sea un botón con un texto que no contrasta lo suficiente con el color del botón y, por lo tanto, no pueda leerse.
  • Debe evitarse el grado máximo de granularidad (selección cookie a cookie, incluso dentro de la misma finalidad), ya que el exceso de información dificulta la toma de decisiones.
  • El botón o mecanismo paraadministrar las preferencias del usuario debe llevar directamente al panel de configuración, sin que tenga que desplazarse por grandes cantidades de texto buscando la información, que deberá seguir siendo accesible de forma permanente.
  • En el panel de configuración debe indicarse o desprenderse claramente cómo guardar la selección realizada por el usuario. A estos efectos, sería válido por ejemplo un botón con el texto “Guardar selección”, “Guardar configuración” o textos similares.
  • Para facilitar la selección, en el panel podrán además implementarse dos botones, uno para seleccionar todas las categorías de cookies y otro para rechazarlas todas si el usuario las ha seleccionado previamente, siendo esta opción recomendable cuanto mayor sea el número distinto de categorías en las que se hayan clasificado las cookies. Si el usuario guarda su elección sin haber seleccionado ninguna cookie, equivaldrá al rechazo de todas las cookies.
  • En ningún caso son admisibles las opciones premarcadas a favor de aceptar cookies para obtener un consentimiento válido.
  • En relación con las cookies de terceros es suficiente con identificar a estos por su nombre o por la marca con la que se identifican de cara al público, sin incluir la denominación social completa

Información a incluir en la política de cookies

  • Definición y función genérica de las cookies.
  • Información sobre el tipo de cookies que se utilizan y su finalidad.
  • Identificación de quién utiliza las cookies.
  • Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies enunciadas a través de las funcionalidades facilitadas por el editora través de las plataformas comunes que pudieran existir para esta finalidad.
  • En su caso, información sobre las transferencias de datos a terceros países realizadas por el editor.
  • Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar, será necesario que se informe sobre la lógica utilizada, así como la importancia y las consecuencias previstas de dicho tratamiento para el usuario en los términos establecidos en el artículo 13.2.f) del RGPD.
  • Periodo de conservación.
  • En relación con el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad.

Cómo debe mostrarse la información sobre cookies

  • La información o la comunicación debe ser concisa, transparente e inteligible, debe resultar comprensible al integrante medio de la audiencia objetivo.
  • Se ha de utilizar un lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje. No serían válidas, por ejemplo, frases como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias comportamentales. También deben evitarse términos como “puede”, “podría”, “algún”, “a menudo”, y “posible”.
  • La información ha de ser de fácil acceso. El usuario no debe buscar la información, sino que debe ser evidente para él dónde y cómo puede acceder a ella, como cuando se proporciona un enlace claramente visible que dirige directamente a la información bajo un término de uso común como “política de cookies” o “cookies”.
  • Posibilidad de uso de “capas”; muy recomendable.

Cómo otorgar consentimiento

  • Para la utilización de las cookies no exceptuadas será necesario en todo caso obtener el con sentimiento del usuario. Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares.
  • También podrá obtenerse infiriéndolo de una inequívoca acción realizada por el usuario en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies.
  • En ningún caso la mera inactividad del usuario implica la prestación del consentimiento por sí misma.
  • Será necesario que el consentimiento haya sido otorgado de forma libre e informada
  • El CEPD ha establecido que seguir navegando no es una forma válida de prestar el consentimiento.
  • Que el usuario, en todo caso, podrá negarse a aceptar las cookies. La opción para rechazar las cookies deberá ofrecerse en la misma capa y al mismo nivel que la opción para aceptarlas y el mecanismo empleado al efecto (botón u otro) deberá ser similar.
  • Que la información que se otorgue al usuario para que pueda consentir la utilización de las cookies se encuentre separada de la información que se le ofrezca sobre otros asuntos.
  • Que la aceptación de los términos o condiciones de uso de la página web o servicio se separe de la aceptación de la política de privacidad o cookies.

Quién debe prestar el consentimiento

  • El consentimiento debe ser prestado por los “destinatarios” de los servicios de la sociedad de la información.
  • La determinación de qué método será apropiado para obtener el consentimiento para usar cookies dependerá del tipo de cookies que se van a utilizar, de su finalidad y de si son propias o de terceros.
  • Debe indicarse si el consentimiento se presta solo para la página web en la que se está solicitando o si se facilita también para otras páginas web del mismo editor o incluso para terceros asociados al editor en el marco de las finalidades de las cookies sobre las que se ha ofrecido información.
  • Con independencia de la modalidad de obtención del consentimiento, la opción de rechazar.
  • Las cookies deberá ofrecerse al usuario al mismo tiempo, al mismo nivel y con la misma visibilidad que la de aceptarlas, sin remitirle a otra capa o lugar diferente para realizar esa acción.

Consentimiento de cookies en menores de 14 años

  • En el caso de sitios web o servicios en línea específicamente dirigidos a menores, es conveniente recordar la necesidad de adoptar cautelas adicionales como son una mayor sencillez y claridad del lenguaje empleado.
  • Tratándose de menores de 14 años, el responsable hará esfuerzos razonables para verificar que el consentimiento para el tratamiento de datos personales fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias del tratamiento.
  • Así, entre otros factores, a la hora de establecer medidas para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela, deberá considerarse el nivel de riesgo asociado a la utilización de las cookies (por ejemplo, teniendo en cuenta la naturaleza de los datos que se recopilan) y atenderse especialmente  al principio de minimización de datos
  • A menor riesgo, más sencillo podrá ser el sistema de verificación implementado. Por ejemplo, tratándose de usuarios no registrados de un sitio web dirigido a menores, si sus datos de dispositivo y de navegación se utilizan únicamente con fines analíticos, el consentimiento del titular de la patria potestad o tutela podría obtenerse previa advertencia o llamada dirigida al menor indicándole en la primera capa informativa que, si tiene menos de 14 años, antes de seguir navegando, avise a su padre, madre o tutor para que acepte o rechace las cookies, evitando, por tanto, solicitar datos adicionales del menor o del titular de la patria potestad o tutela.

Para cualquier consulta sobre la normativa de uso de cookies o sobre protección de datos, contacte con Tomarial y nuestros especialistas le asesorarán personalmente.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies