Cuando navegamos por internet, vemos que son muchas las páginas web que todavía no cumplen con la normativa actual de cookies (reguladas en el artículo 22.2 de la LSSI-CE).
A menudo encontramos sitios web que no muestran el faldón de cookies y, otros que aún indican que “Si sigue navegando, usted acepta nuestras cookies” o mensajes similares.
Tal vez estos dos son los errores más comunes que nos encontramos pero, existen muchos más.
Por supuesto, después de todas las sanciones que ha impuesto la Agencia Española de Protección de Datos a diversas empresas por la infracción del RGPD y la normativa de cookies, recomendamos encarecidamente que contacte con su asesor de protección de datos para que revise su página web.
No obstante, repasaremos algunos de los requisitos más importantes de la normativa de cookies así como, los errores más habituales:
1.- Información en dos capas
La actual normativa y la guía de cookies de la AEPD estipulan, que es obligatorio informar de las cookies que se cargan en las páginas web (a excepción de las cookies técnicas necesarias para el funcionamiento de la web) y, que esa información se debe dar en 2 capas.
a) Primera capa o faldón informativo: es necesario informar que la página web utiliza cookies, qué tipo de cookies se utilizan, si son propias y/o de terceros y su finalidad. También es necesario incluir una casilla para aceptar las cookies , un enlace a la política de cookies y, hay que dar al usuario la posibilidad de configurar o rechazar las cookies.
b) Segunda capa o información completa de las cookies: entre otras cosas, hay que detallar las cookies que se utilizan, indicar de qué tipo de cookies se tratan, indicar quién es el titular de las cookies (volvemos al asunto de si son propias o de terceros) y, en su caso, indicar quién es el tercero. Y por supuesto, qué es lo que hacen o para que se utiliza, tanto por nuestra página, como por los terceros propietarios.
En esta segunda capa se debe indicar también si hay transferencias internacionales de datos (como es el caso de las cookies de Google Analytics) , enlaces a las políticas de privacidad de los terceros y, cómo deshabilitar las cookies o revocar el consentimiento que en su momento se prestó.
En definitiva, la segunda capa se debe dar una información muy amplia acerca de las cookies.
Para ello, consideramos en que la mejor opción es estar correctamente asesorado por un profesional de la protección de datos que pueda orientar a su webmaster a la hora de cumplir los requisitos de la LSSI-CE y el RGPD.
2.- Aceptación expresa de las cookies:
Ya no es válida la opción de “seguir navegando”, sino que el usuario debe aceptar expresamente (mediante un botón que se incluye en la primera capa informativa) que acepta las cookies.
Aquí, uno de los errores que más frecuentemente nos encontramos es que las cookies que no son técnicas se cargan en el momento de entrar en la página web y, no se deberían cargar hasta que la política de cookies sea aceptada. Esto puede deberse, entre otros motivos, al uso de plug-ins para cookies que no cubren los requisitos de la LSSI-CE o a una mala configuración del gestor de cookies.
3.- Rechazar o configurar las cookies
Otro de los fallos comunes, lo encontramos en la configuración de las cookies ya que, es posible que, al entrar en la web nos aparezca el faldón informativo con un enlace a “más información” pero, sin darnos la posibilidad de rechazar o configurar las cookies del sitio
4.- Segunda capa de información
Como hemos dicho anteriormente, hay que dar una amplia información acerca de las cookies de la web (tipos de cookies, si son propias o de terceros, titular de las cookies, si hay transferencias internacionales…).
Aquí nos encontramos muchas políticas de cookies con una información genérica pero, sin información específica: se usan cookies de terceros pero, no se indica el tercero, faltan enlaces a las políticas de privacidad, no se indica cómo revocar el consentimiento, etc.
Uno de los ejemplos más típicos es el caso de uso de la cookies de Google Analytics.
La mayoría de las webs usan cookies de Google pero, en muchos casos no informan a los usuarios, faltan los enlaces a las políticas de privacidad, o no explican que su aceptación puede implicar la aceptación de una transferencia internacional de datos (los datos recogidos por la cookie que se trasladan a servidores en EE.UU.)
5.- Sanciones: la Agencia Española de Protección de Datos está sancionando a empresas cuyas webs no cumplen por la normativa, ya sea porque falta la política de privacidad, ya porque se tratan datos sin autorización del interesado, o bien por instalar cookies sin el consentimiento.
Les dejamos enlace a nuestra web con algunas de las últimas sanciones de la Agencia:
– https://www.aselio.es/LOPD-RGPD/Resoluciones-AEPD
Por último, queremos aclarar que este artículo no es una guía exhaustiva acerca del uso de las cookies, simplemente, queremos acercar a los propietarios de los sitios webs una problemática real que nos encontramos en el día a día al navegar por internet y, que puede acarrear la imposición por parte de la AEPD de sanciones cuantiosas a los propietarios de esas web.
Para una información detallada acerca de las cookies, la Agencia Española de Protección de Datos tiene publicada una guía que pueden consultar de manera gratuita en su página web:
– https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf
