Cookies ‘Made in Spain’

cookies_vivet

Por Laura Vivet Tañà

La Agencia Española de Protección de Datos publicaba una guía sobre el uso y regulación de las cookies, una vez modificado el art. 22 de la Ley 34/2002, de Servicios de la Sociedad de la Información y del correo electrónico, que ha servido para implementar la Directiva Europea e-Privacy en España.

La guía proporciona información para entender los nuevos requisitos que establece la normativa y recomendaciones para su aplicación práctica. También resalta la importancia de los términos contractuales incluidos en las relaciones contractuales y pre-contractuales entre los agentes implicados.

La Agencia Española de Protección de Datos destaca la importancia de las relaciones contractuales entre los editores, anunciantes y terceras partes involucradas en el tratamiento.

Se establece una distinción de los diferentes tipos de cookies (cookies propias/de terceros, de seguimiento, publicidad, analíticas, de sesión, seguridad, etc.) habiendo algunos tipos que quedan excluidos de los requisitos legales. Estas excepciones están basadas en la Opinión 4/2012 (WP194) y normalmente se refieren a cookies estrictamente necesarias para la prestación de un servicio o expresamente requeridas por el usuario, por ejemplo: cookies de sesión o de acceso, cookies de sesión de reproductor multimedia, cookies de sesión para equilibrar la carga, cookies de personalización de interfaz de usuario y cookies de complemento (plug-in) para intercambiar contenidos sociales.

La guía también explica los diferentes tipos de actores que participan en la gestión de esta técnica y de la información tratada (usuario, editor, anunciante, agencias de publicidad, etc.), estableciendo que las principales obligaciones son facilitar información clara y consentimiento.

También destaca los siguientes puntos relevantes:

  • La información proporcionada ha de ser clara y fácil de entender. Igualmente se debe facilitar información sobre: definición de cookie, tipos de cookies utilizadas, agentes involucrados (cookies propias/de terceros), finalidades, la acción específica que constituye el consentimiento del usuario para el uso de cookies, como desactivar y eliminar las cookies.
  • Hay una preferencia por la información por capas en las notas legales: facilitar la información básica en un breve aviso inicial y luego, dar acceso a más información si el usuario lo requiere.
  • Ubicación de la información en un lugar de fácil acceso para el usuario.
  • El consentimiento implícito es posible: en general, para un consentimiento válido, los usuarios han de estar claramente informados y han de hacer una acción positiva. Pero el consentimiento puede ser válido igualmente si se informa correctamente al usuario y éste utiliza la barra de desplazamiento o clica en cualquier enlace de la página.
  • Las cookies consideradas exentas, no han de cumplir el requisito del previo consentimiento informado.
  • La posibilidad de revocar el consentimiento previamente otorgado, ha de estar disponible en todo momento.

La legislación no establece expresamente quien es el responsable de cumplir con estos requerimientos en este sentido la guía establece que, los diferentes actores que participan en la instalación de cookies y la gestión de la información deben cooperar y pueden ser ambos responsables de cumplir con dichas obligaciones.

La Agencia Española de Protección de Datos destaca la importancia de las relaciones contractuales entre los editores, anunciantes y terceras partes involucradas en el tratamiento, recomendando la inclusión de ciertas clausulas estableciendo quién y como se va a recabar el consentimiento y los medios para revocarlo. Esto parece ser una clave para determinar quien deberá ser responsable de cumplir con la regulación y ciertamente, puede haber un problema si las cláusulas contractuales no son claras.

Además, hay un debate acerca de si la falta de consentimiento expreso para la instalación de cookies puede ser sancionado, ya que la Ley no es clara. La normativa establece expresamente una sanción grave por la falta de información o de medios para revocar el consentimiento, pero no establece expresamente una sanción por la falta de consentimiento expreso del usuario.

Quizás por esta razón la efectividad de esta nueva normativa en España es bastante controvertida.

Finalmente quería mencionar una interesante e ingeniosa iniciativa del Interactive Advertising Bureau sobre este tema, para ayudar a entender los requerimientos de esta nueva normativa. Lo puedes ver aquí.