De izquierda derecha, Lidia Sanz, directora general de la Asociación Española de Anunciantes, Reyes Justribó, directora general de IAB SPAIN, Mar España Directora de la AEPD, Jesús Rubi, adjunto al director de la AEPD; José Domingo Gómez, director general de AUTOCONTROl y el director general de ADIGITAL, José Luis Zimmermann.
La AEPD y la industria publicitaria actualizan la Guía sobre el uso de «cookies» a la normativa del RGPD
Las empresas deberán contar con el consentimiento informado del consumidor antes de instalar las "cookies"
|
09/11/2019 06:06
|
Actualizado: 12/4/2022 10:35
|
Responder a las obligaciones legales del artículo 22 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), en relación con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos (LOPDGDD) es el principal objetivo de la Guía sobre el uso de las «cookies» presentada este viernes en la Agencia Española de Protección de Datos (AEPD).
Las cookies son el concepto clave para entender la publicidad online. Según IAB Spain, Asociación de la publicidad, el marketing y la comunicación digital en España, las «cookies» publicitarias son pequeños archivos de texto que el servidor de una web transfiere a una carpeta en el disco duro del usuario (la carpeta de cookies del navegador).
Normalmente contienen el nombre del dominio de donde proviene la «cookie», el momento de creación y un valor, un número otorgado aleatoriamente.
Esta información permite guardar una huella digital en el dispositivo del usuario, reconocerle en sesiones posteriores, saber cuánto tarda en volver a un web, etc.
Esta nueva guía que sale a la luz pública tras año y medio de reuniones de trabajo entre la propia AEPD y las asociaciones ADIGITAL, Anunciantes, AUTOCONTROL e IAB Spain actualiza la anterior guía del 2013.
Esta estaba redactada conforme a la normativa de protección de datos vigente de aquel momento, esto es, la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, de ahí que fuera necesaria actualizar con el RGPD, aplicable desde el 25 de mayo de 2018.
En esta presentación tomaron la palabra directora de la AEPD, Mar España, y contó con intervenciones del director general de AUTOCONTROL, José Domingo Gómez Castallo.
También estuvo la directora general de IAB Spain, Reyes Justribó, el director general de ADIGITAL, José Luis Zimmermann, y la directora general de la Asociación Española de Anunciantes (AEA), Lidia Sanz.
La Guía, cuya versión anterior del 2012 acumula más de dos millones de descargas, recoge las orientaciones, garantías y obligaciones que la industria debe aplicar para utilizar tanto «cookies» como tecnologías similares («fingerprinting» y otras) cumpliendo la legislación vigente.
Todos los ponentes coincidieron en sus intervenciones en la utilidad de dicha guía “y el papel esencial que juegan las ‘cookies’ para la prestación de numerosos servicios en Internet«.
«Y, a la vez, las implicaciones que tienen en la privacidad de los usuarios ha determinado la necesidad de implantar un sistema en el que el usuario sea consciente de quién, cómo y para qué utiliza sus datos personales”.
Según explico Mar España, el documento analiza la necesidad de obtener el consentimiento informado del usuario antes de instalar las «cookies».
Recogiendo tanto la obligación de transparencia en la información como el consentimiento en sí mismo, teniendo en cuenta que la nueva normativa de protección de datos establece unos requisitos más estrictos.
Además, la Guía se complementa con ejemplos prácticos de fórmulas válidas para recabar el consentimiento de los usuarios.
También la directora de la AEPD se refirió a la transparencia a la hora de ofrecer información, la Guía determina que la información debe ser concisa, transparente e inteligible, utilizando un lenguaje claro y sencillo.
A este respecto resaltó que “por tanto, debe evitarse el uso de frases confusas como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”.
O frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a ‘cookies’ publicitarias”, comentó en su intervención.
En el caso de que un usuario preste su consentimiento para el uso de «cookies», la información debe seguir siendo fácilmente accesible, promoviendo la información por capas.
Otro elemento que valoraron las asociaciones que han intervenido en esta iniciativa es que esta guía clarifica también que esta información se debe facilitar antes del uso o instalación de las «cookies» mediante un formato visible.
Y que deberá mantenerse hasta que el usuario realice la acción requerida para otorgar el consentimiento o rechazar la instalación.
Modalidades de consentimiento
Como ejemplo de modalidad válida para recabar el consentimiento, la Guía incluye las opciones de aceptar, rechazar o configurar las «cookies».
Se admite la opción de “seguir navegando” como fórmula válida para obtener el consentimiento tras haber informado de ello.
Reforzando así las garantías para que pueda ser considerada como una clara acción afirmativa e incorporando procedimientos para que denegar el consentimiento pueda ser tan sencillo como prestarlo.
En este sentido, la Guía indica que será necesario que el usuario realice una acción que pueda calificarse como una clara acción afirmativa.
A modo de ejemplo, podrá considerarse así navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre «cookies» ni la política de privacidad), deslizar la barra de desplazamiento.
También cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que pueda considerarse una aceptación el hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado.
El enlace o botón para administrar las preferencias debe llevar al usuario directamente al panel de configuración y podrá integrarse en la segunda capa informativa.
La Guía recoge que en el panel podrán implementarse dos botones: uno para aceptar todas las «cookies» y otro para rechazarlas todas.
Estas posibilidades se admiten con el fin de facilitar la navegación del usuario evitando que tenga que ir marcando una por una las «cookies» que acepta o rechaza, partiendo de la premisa de que se le ha ofrecido una información granular que le permita tomar decisiones de forma selectiva.
En la segunda capa, se añade la obligación de facilitar información sobre las transferencias de datos a terceros países realizadas por el editor; sobre la elaboración de perfiles, cuando implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente.
Y sobre el periodo de conservación de los datos, para que de este modo la información que se suministra contenga los extremos del artículo 13 del Reglamento General de Protección de Datos.
Por otro lado, la Guía también incluye un apartado sobre “actualización del consentimiento” en el que se destaca como buena práctica que la validez del mismo para el uso de una determinada «cookie» no tenga una duración superior a 24 meses.
Y, que durante este tiempo, se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.
¿Quién es responsable?
Para Sergio Sanfulgencio Responsable de Protección de Datos y Privacidad de AUTOCONTROL “a lo largo del texto, se recogen diversas previsiones en materia de responsabilidad. Esta materia cobra especial relevancia y complejidad cuando se utilizan ‘cookies’ de terceros”.
«Cuando se utilicen ‘cookies’ de terceros, la guía advierte que en los contratos entre editores y terceros se debería asegurar que se ofrecerá a los usuarios la información necesaria y que se articulará la forma de obtener un consentimiento válido para la utilización de las ‘cookies’, así como la forma de revocarlo”.
En otra parte de la Guía se comenta que “cuando varias entidades (por ejemplo, editores, anunciantes y agencias) determinen conjuntamente las finalidades y los medios del tratamiento, serán consideradas corresponsables del tratamiento y deberán cumplir lo dispuesto en el artículo 26 del RGPD”.
Este experto en privacidad también advierte que dicha publicación destaca que “si bien la existencia de corresponsabilidad no necesariamente implicará una responsabilidad equivalente de las distintas entidades: la responsabilidad de cada entidad dependerá de la implicación que tenga en el tratamiento concreto”.
Al mismo tiempo subraya que “el alcance de las obligaciones del editor respecto de las ‘cookies’ de terceros se circunscribe a los tratamientos de los que es responsable, incluida, en su caso, la responsabilidad conjunta en cuanto a que el usuario conozca y consienta la utilización por terceros identificados de sus ‘cookies’ y las finalidades del tratamiento de datos asociado a ellas”.
En cambio, estas obligaciones no se extienden a fases ulteriores del tratamiento en las que el editor no interviene.
En cualquier caso, termina diciendo la guía, “la responsabilidad administrativa exigible ante las autoridades de control por el cumplimiento de las obligaciones derivadas del uso de cookies corresponde a cada parte obligada y no es desplazable contractualmente”.
Noticias Relacionadas:
