Nota: La información recopilada en este documento proviene fundamentalmente de mis investigaciones en la web y no son de carácter oficial y se ofrecen con una finalidad meramente informativa o divulgativa, sin que en ningún caso supongan ningún tipo de asesoramiento legal.

Este artículo es parte de una serie que en su conjunto os ayudarán entender el asunto. El primero es meramente informativo, pero los demás son básicos para ayudaros a implementar y cumplir con la “Ley de cookies”:

  1. El penoso camino para cumplir con de la “Ley de cookies”  (este artículo)
  2. Cómo cumplir con de la “Ley de cookies”
  3. Cómo saber que Cookies deja mi web – para la Ley de Cookies
  4. ¿Qué programa/script puedo usar para implementar la “Ley de Cookies”?
  5. Ejemplo/Plantilla de una página con información de una Política de Cookies

Tabla de contenido

  1. Introducción
  2. ¿Qué es una Cookie, y por qué esta necesidad de legislar su uso?
  3. ¿Cuáles son las leyes principales legislan el uso de cookies y como ha sido su desarrollo a lo largo de los años?
    • 01/04/2012: el artículo 22.2 de la LSSI
    • 12/06/2012: Nota de prensa aclaratoria de la AEPD
    • 30/04/2013: Publicación de la “Guía sobre el uso de cookies en España”
    • 13/09/2013: Nuevos cambios a través de la Ley General de Telecomunicaciones
    • 02/10/2013: La UE emite una guía común

Introducción

El artículo de opinión en la Expansión “¿Quién cumple la ley de cookies?”, del día 26 de Noviembre del 2013, (¡SÍ, RECIENTEMENTE! ) plasma muy bien que aún sigue sin resolverse la problemática diciendo, …”

Es decir, esta Ley no especifica qué tipo de información es la que debe darse al usuario y en qué forma debe éste prestar su consentimiento. Es decir, no sólo la mayoría de los prestadores de servicios desconozcan a día de hoy si están implementando las políticas adecuadas para respetar la ley de Cookies o no, sino también que incluso muchos de ellos lleguen a plantearse si tienen que obtener realmente el consentimiento de los usuarios para la utilización de las cookies.”

Yo tampoco soy Notario o Jurista, pero es de mi “mundo” y estaba justo estos días atrás mirando el mismo tema, porque se veían más mensajes emergentes de cookies en la web, y parece que por fin las autoridades han aclarado al “Ley de Cookies”. Aunque ya lo han aclarado mejor en septiembre 2013 con el Proyecto de Ley General de Telecomunicaciones, creo que la razón real por la que ya se ven más avisos de cookies es por este artículo en Expansión del 16/09/13, donde

“La Agencia Española de Protección de Datos (AEPD) ha abierto el primer procedimiento sancionador de España a una empresa por incumplir la ley de cookies”. …violar la ley podría implicar una multa de hasta 150.000 euros. Si además se han tratado los datos personales (va contra la LOPD si no se informa de ello) podría sancionarse con otra multa de hasta 600.000 euros.

He leído unos cuantos (muchos) artículos/leyes, y  he estado comparando más de 40 sitios web. A ver si le puedo echar una mano, para que no tenga que hacer lo mismo. Aunque cada empresa lo haca a su manera y el tipo de mensaje es diferentes según el tipo de cookies que usan, se ven las partes esenciales comunes.

  1. Hay que AVISAR que se está usando cookies y mostrar el mensaje (primera capa) hasta que lo acepte el visitante. El mensaje es corto y había muchas variantes, pero lo importante es avisar bien visible porque se usan las cookies (describirlo de forma positiva). Entiendo que es suficiente que aparezca la primera vez durante una sesión, pero si vuelvo a entrar (p.e. el día siguiente) debe de volver a aparecer el mensaje si no lo he confirmado antes. Aquí viene una particularidad de esta ley.
  2. En la segunda capa, de información detallada sobre cookies, se debe explicar qué son las cookies y porque y para que se usan y como deshabilitarlos. Algunos explican el detalle de cada cookie, pero entiendo que no hay que ser tan detallado. Eso sí, todas las funciones principales de las cookies que uno utiliza en su web deben de explicarse. Finalmente se explica la aceptación.

¿Qué es una Cookie, y por qué esta necesidad de legislar su uso?

Según la definición de Wikipedia:

Una cookie (o galleta informática) es una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario.

Sus principales funciones son:

      • Llevar el control de usuarios: cuando un usuario introduce su nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica solo a una persona, sino a una combinación de computador-navegador-usuario.
      • Conseguir información sobre los hábitos de navegación del usuario, e intentos de spyware (programas espía), por parte de agencias de publicidad y otros. Esto puede causar problemas de privacidad y es una de las razones por la que las cookies tienen sus detractores.

Obtener la confianza de los usuarios implica que sean conscientes de que sus hábitos de navegación en ocasiones van a ser conocidos por prestadores de servicios en Internet, que puedan valorar las ventajas asociadas a dicho conocimiento y que sepan cómo gestionar la aceptación o el rechazo de tales ventajas. Por esta razón la llamada “Ley de Cookies” obliga a los dueños de webs que usen cookies que informan al usuario de su uso y pidan so consentimiento.

¿Cuáles son las leyes principales legislan el uso de cookies y como ha sido su desarrollo a lo largo de los años?

En principio es una directiva europea (EU e-Privacy Directive 2009/136/EC) y afecta a cualquier web de la Comunidad Europea, no solo España.

Pere para España todo empieza con la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Aunque en esta ley no se menciona las cookies explícitamente, sí trata los fines del tratamiento de los datos y sienta las bases. Primero debo aclarar que no existe tal “Ley de Cookies”. El tema de legislar las cookies no es nada nuevo; ya estaba entre las obligaciones previstas en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI). Lo nuevo es su modificación por el Real Decreto-ley 13/2012, de 30 de marzo, donde entre otras modificaciones hay que avisar y pedir permiso al visitante ANTES de poner la cookie.

Veamos un poco, y grandes rasgos, los tropiezos de esta regulación desde entonces…

01/04/2012: el artículo 22.2 de la LSSI

Desde el 1 de abril de 2012, el artículo 22.2 de la LSSI (Ley de Servicios de la Sociedad de la Información) indica que se podrán utilizar cookies en equipos de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información:

Artículo 22.2 de la Ley 34/2002. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Como era de esperar, no quedaba nada claro qué cookies y qué información sobre cada cookie había que incluir y tampoco cómo había que implementarlo (informar y pedir la aceptación del usuario). Por ende nadie sabía qué hacer y las empresas estaban a la espera de esta aclaración.

12/06/2012: Nota de prensa aclaratoria de la AEPD

Con tal fin la AEPD (Agencia Española de Protección de Datos) publica el 12/06/2012 una Nota de Prensa sobre el Dictamen del Grupo de Trabajo del artículo 29 que analiza la norma revisada sobre cookies. En este escrito se aclara algo más qué tipos de cookies no requieren el consentimiento del usuario y cuales sí, pero sin aclararlo lo suficiente.

30/04/2013: Publicación de la “Guía sobre el uso de cookies en España”

En un intento de aclararlo mejor la Agencia Española de Protección de Datos (AEPD), en colaboración con las asociaciones Autocontrol, adigital e IAB Spain publicó la ‘Guía sobre el uso de cookies en España’ que tampoco consiguió despejar del todo las dudas, pero sí llevó a un incumplimiento generalizado de la norma.

En resumen, según la guía, las obligaciones legales impuestas por la normativa son:

Deber de información

Debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos. Asimismo la información sobre cómo revocar el consentimiento y eliminar las cookies deberá de estar a su disposición de forma accesible y permanente.

Obtención del consentimiento

Para la instalación y utilización de las cookies no exceptuadas será necesario en todo caso obtener el consentimiento del usuario. Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares. También podrá obtenerse infiriéndolo de una determinada acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies. En todo caso la mera inactividad del usuario no implica la prestación del consentimiento por sí misma.

Fuente: http://www.ayudaleyprotecciondatos.es/2013/04/30/guia-uso-cookies/

En cuanto a los tipos de cookies que se incluyen/excluyen detalla:

Cookies que requieren el consentimiento

  • Las de analítica web, para obtener información estadística de la navegación.
  • Las de seguimiento, para lanzar publicidad basada en el comportamiento.
  • Las que llevan aparejadas ciertos plugins sociales, cuando realizan seguimiento de la actividad de los usuarios.

Cookies que NO requieren el consentimiento

  • Cookie estrictamente necesaria para la prestación de un servicio expresamente solicitado por el usuario.( Por ejemplo, aquella que es necesaria instalar para efectuar un pago o acceder a una zona privada de la web).
  • Cookies de sesión de reproductor multimedia
  • Cookies de sesión para equilibrar la carga
  • Las que personalizan la interfaz de usuario: tamaño de letra, idioma…
  • Las instaladas por motivos exclusivos de seguridad.
  • Las que permiten mantener abierta la sesión del usuario mientras navega por la página web.
  • Cookies de complemento (plug-in) para intercambiar contenidos sociales (¡con matices!: Sí hay mencionarlos cuando realizan seguimiento de la actividad de los usuarios.)

Todos los demás cookies en nuestra web, sean propios o de terceros (de otros dominios, como botones sociales, YouTube, etc.), requieren un consentimiento previo del usuario. (Fuente: Dictamen 4/2012 sobre la exención del requisito de consentimiento de cookies).

(Fuente: Dictamen 4/2012 sobre la exención del requisito de consentimiento de cookies)

13/09/2013: Nuevos cambios a través de la Ley General de Telecomunicaciones

Consejo de Ministros aprueba la remisión del Proyecto de Ley General de Telecomunicaciones a las Cortes Generales. Éste modifica también la LSSI. Algunas modificaciones son:

Cambios en políticas de cookies

  • Ya no será exigencia que el usuario realice una “acción expresa” que cumpla la norma del consentimiento previo a la hora de instalar cookies, es decir, que se podría eliminar la exigencia de que el usuario que accede a un sitio web deba necesariamente hacer clic en un botón que autoriza la instalación de cookies (exigencia masivamente incumplida como ya indicaba con anterioridad).
  • Este concepto parece estar en línea con la evolución de este requisito en otros países comunitarios, permitiendo por ejemplo, que el mero hecho de seguir navegando por un sitio tras haber sido claramente advertido de la instalación de cookies sirva como consentimiento.
  • Se tipifica el régimen sancionador en el caso de uso de cookies sin consentimiento, es decir, en caso de ignorar el no consentimiento del usuario a la instalación de cookies o de seguir tratando sus datos tras la revocación del citado consentimiento.
  • Con respecto a las redes publicitarias o agencias, se las declara responsables de vulnerar las normas sobre cookies en caso de que no hubieran adoptado medidas para exigir a terceros prestadores del servicio el cumplimiento de los deberes de información y la obtención del consentimiento del usuario. Esto podría afectar (veremos su desarrollo) a las páginas corporativas o de empresa en redes como Facebook o Google+.

Finalmente hay que recordar que la AEPD aún no ha sancionado a ninguna empresa o profesional por el tema de las cookies (Nota AK: fecha 13/09/2013); lo que ha hecho es iniciar un procedimiento sancionador que puede o no terminar en una multa (y que podría en cualquier caso ser posteriormente recurrido) y cuyos fundamentos de derecho habrá que analizar detenidamente.

Por otro lado, la reforma de la LSSI comentada aún ha de ser aprobada y entrar en vigor, por lo que a día de hoy Seguimos con las dudas (Nota AK: fecha del 18/09/2013, se aprobó el 27/09/2013)…. Fuente: Blog Sarbacan

En es también importante tener en cuenta que una de las principales razones de la legislación de los cookies es su capacidad de recopilar datos personales, tarea que se puede hacer también por otros medios. Existen mecanismos    , etc. que también permiten monitorizar el comportamiento de los particulares. Nos referiremos, por tanto, a las “cookies” en un sentido amplio. Finalmente no sólo hay que cumplir con la “Ley de Cookies” sino también con la LOPD. Este artículo del Diario Jurídico trata este tema en más detalle.

02/10/2013: La UE emite una guía común

El 2 de octubre del 2013 los Estados miembros de la UE emitieron una guía común sobre la obtención del consentimiento de las cookies. Sí, justo después del último cambio de ley en España; a lo mejor viene otro cambio más, porque lo he leído y para poner sólo un ejemplo:

Furthermore the information should be present on the website and not disappear until the user has expressed his/her consent

Es una parte que al parecer la ley española no ve tan estricta, porque justo antes aligeran esta parte en el sentido “Ya no será exigencia que el usuario realice una “acción expresa” que cumpla la norma del consentimiento previo a la hora de instalar cookies”. Desde luego está abierto a interpretación.

Que yo sepa no ha habido cambios significativas en las leyes españoles.

¿Cuántas vueltas más van a dar a la “Ley de cookies”?

¿Qué opiniones y experiencias habéis tenido vosotros?

Puede seguir leyendo una explicación resumida más práctica de lo que hay que hacer para cumplir con esta ley en el artículo, Cómo cumplir con de la “Ley de cookies”.

Si le ha gustado el artículo, por favor, compártalo con sus amigos y conocidos 🙂

↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ 

Pin It on Pinterest

Share This

Share This

Share this post with your friends!