COOKIES & RGPD

De acuerdo con el Reglamento Europeo de Protección de Datos UE/679 (RGPD) relativo a las personas físicas en lo que respecta al tratamiento de datos personales y a la espera de la definitiva aprobación del Reglamento E-Privacy[1], que vela por la confidencialidad de las comunicaciones electrónicas, debemos tener en consideración las indicaciones que nos facilita la AEPD para dar cumplimiento al RGPD.

Las principales novedades son:

  1. Se mantienen los avisos de primera capa y de segunda capa. Sin embargo, se amplía la información que se debe facilitar en la primera capa.
  1. Se articulan mecanismos reforzados para la obtención del consentimiento del usuario.

2.1 Habilitar un botón aceptar todas las cookies en el pop up de aviso de la primera capa. Con obligación de bloqueo de la descarga de cookies hasta que el usuario consiente.

2.2 La fórmula de “seguir navegando” se puede continuar admitiendo si se refuerza la información que permita la toma de decisiones por parte del usuario con relación a las cookies. Esta fórmula no la aconsejamos en la medida que la propuesta de Reglamento E-privacy establece la necesidad de la obtención del consentimiento del usuario mediante una declaración o clara acción afirmativa.

Es incompatible colocar el botón de aceptar y al mismo tiempo usar la fórmula de seguir navegando porque induce a confusión.

  1. La información que se debe facilitar en la primera capa se amplía con los siguientes puntos:
  • Identificación del responsable de la página web.
  • Tipo de cookies que se usan. P.e. propias o de terceros.
  • Finalidad de las cookies. P.e. analítica, publicitaria, elaboración perfiles.
  • La elaboración de perfiles en su caso y la tipología de datos asociados para su creación[2].
  • La monitorización de los hábitos de navegación de los usuarios, en su caso.
  • La adopción de decisiones automatizadas, en su caso.
  • Colocación de mecanismos que permitan la obtención del consentimiento del usuario.
  • Acceso al panel configuración de cookies a través de botón o enlace.
  1. La información que se debería facilitar en la segunda capa sería:
  • Información detallada sobre el tipo de cookies y la finalidad propias y de terceros. Las cookies se deben poder agrupar por finalidades y conveniente hacerlo por la empresa que las instala.
  • Identificación de terceros que colocan cookies por su marca.
  • Panel de configuración de las cookies con botón de habilitar cookies y botón de desactivar cookies pudiendo desactivar las cookies por categorías. No es necesario que rechace una a una cada una de las cookies de la misma categoría.

En conclusión, se han de actualizar los avisos pop de cookies de los sitios web de primera capa y la información que se facilita en la segunda capa, así como, las formas de obtención del consentimiento.

La información relativa a las cookies debe ser clara y comprensible por el usuario de forma que le ayude a la toma de decisiones y el consentimiento ha de ser suficientemente informado, voluntario y se ha de poder acreditar por parte del titular del sitio web.

[1] El Reglamento e-privacy incluye dentro del ámbito de su aplicación los metadatos (datos de tráfico) y datos asociados al equipo terminal del usuario (direcciones mac, numero de dispositivo o IMEI, direcciones IP, pixeles, huellas de los dispositivos).

[2] <<La elaboración de perfiles>>:  supone el uso y tratamiento automatizado de datos personales con la finalidad de evaluar determinados aspectos personales de una persona física, y en particular para analizar y/o predecir aspectos relacionados con el rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos. Para la elaboración de perfiles se pueden usar cookies u otros identificadores como etiquetas de identificación por radiofrecuencia que pueden ser combinados con identificadores únicos y otro tipo de datos recibidos por los servidores.