Cookies (II). Cómo se regulan las cookies

Introducción

Ya hemos hablado de lo que son las cookies, como funcionan y que consecuencias tienen. Ahora toca hablar de cómo se regulan.

Pues bien, las cookies, se regulan por dos tipos de normativas, por el Reglamento General de Protección de Datos (en adelante, RGPD) y por la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (en adelante, LSSICE). Que se regule por estas dos normativas tiene su explicación en que, la LSSICE, regula todo lo relativo a los dispositivos de almacenamiento y recuperación de datos, siendo las cookies uno de estos dispositivos; y el RGPD, regula el tratamiento de los datos de carácter personal.

La LSSICE es una norma que ha transpuesto una Directiva europea. Pero es cierto, que de acuerdo con el principio de especialidad, una ley especial prevalece sobre una ley general. En este caso la LSSICE prevalece sobre el RGPD, por ser este último una “ley” general. Pero también es cierto que, el Tribunal de Justicia de la Unión Europea, ha indicado que el RGPD resultará de aplicación en todo lo que tenga que ver con el tratamiento de datos de carácter personal llevado a cabo por los dispositivos como las cookies.

Análisis

Todos los sitios web que utilicen cookies, tendrá que informar a los interesados o usuarios sobre el uso de las cookies en los navegadores antes de proceder a la descarga de las mismas. Se tiene que tener en cuenta lo siguiente:

(1) Un mecanismo de alerta que aparezca en el momento del primer acceso de la persona a la página web. A través de un aviso legal como un banner o un pop-up.

(2) Si a través de las cookies podemos recoger datos de carácter personal, se deberá de dar la opción al interesado de aceptar, denegar o configurar la instalación de las cookies en su navegador.El consentimiento deberá de otorgarse como una opción afirmativa y positiva, y el rechazo de las cookies debe suponer una opción real. Adicionalmente, estos registros se deberán conservar de manera segura para poder demostrar estos consentimientos frente a la autoridad de control

(3) Las cookies solo se deberán instalar una vez el usuario haya aceptado el uso de estas.

(4) Lo que en ningún caso se podría hacer es seguir navegando sin optar por ninguna de las opciones, debido a que el usuario no sabe realmente si se le han instalado las cookies o, si, por el contrario, permanece en el sitio web sin que se le hayan instalado.Hay que indicar que la Guía de la AEPD sobre el uso de las Cookies, ha introducido un nuevo modelo, la Opción 3, que permite la aceptación de las cookies por la mera navegación. Pinche aquí y acceda a Cookies III. La opción de la AEPD. (enlazar con el artículo de Cookies III).

(5) De manera opcional se recomienda que en periodos anuales a contar desde la primera visita del usuario se renueve el consentimiento.

Hay que tener en cuenta que el Reglamento General de Protección de Datos requiere el consentimiento explícito cuando se lleven a cabo procedimientos de decisión totalmente automatizados.

Independientemente de lo que establezca el Reglamento ePrivacy (el cual sustituirá a la Directiva que transpuso a la LSSICE), como ya hemos indicado, la Ley de Servicio s de la Sociedad de la información y de Comercio Electrónico (LSSICE), ya establece la obligación de informar al consumidor / usuario del uso de las cookies y que estas se consientan (art. 22.2 LSSICE).

A este último supuesto (a las obligaciones de la LSSICE), hay que añadirle lo que se establece en el Reglamento General de Protección de Datos, que pese a ser una norma general frente a una ley especial, en este caso complementa a la LSSICE y por ello es necesario que se informe acerca del uso de las cookies:

(1) Se tiene que hacer accesible al usuario la información sobre las cookies. Por ello se tiene que establecer un enlace en el pie de página o footer de la página web que redirecciones a la Política de Cookies.

(2) Contenido que se debe de establecer: (1) qué son las cookies; (2) descripción de las cookies utilizadas en el sitio web; (3) como puedes configurar y deshabilitar las cookies en cada navegador; (4) plazos de conservación o actualización y (5) si se llevan a cabo transferencias internacionales habrá que específicarlo.

(3) Las cookies se han de consentir, dicho consentimiento inequívoco, granular, revocable, informado y previo. Por tanto, en el pop up mencionado anteriormente, ya no solo vale con establecer un mecanismo de aceptación o denegación, sino que se habrá de informar de que cookies se instalan, para que se utilizan y la posibilidad de consentirlas o no, así como revocarlas cuando consideremos oportuno.

(4) En segundo lugar, se deberá poner un enlace a la política más extensa de cookies, colocado en el pie de página o footer (Política de Cookies).

Cookies exentas y no exentas de configuración

El Grupo de Trabajo del Artículo 29, en su Dictamen 04/2012 sobre la excepción de consentimiento para cookies, aporta varios ejemplos sobre cookies exentas y no exentas que ayudan a entender lo anterior:

(1) Las load-balancing cookies, es decir, aquellas que se usan para recabar datos que ayudan a regular, dividir y gestionar la congestión de los servidores, serían consideradas necesarias para la comunicación a través de la red, por lo tanto, exentas de la notificación de almacenamiento puesto que únicamente identifican un servidor, no una máquina cliente. De esta manera no contendrían datos personales. Por lo tanto, su procesamiento no involucra protección personal de datos y no necesita notificación de procesamiento.

(2) Las cookies que se usan para customizar la interfaz de usuario (por ejemplo, para indicar el idioma preferido o el formato de contenido) no requieren ningún identificador particular, por lo tanto, difícilmente constituirán información personal. Podrían, dependiendo de la persistencia, requerir notificación antes del almacenamiento.

(3) Las cookies usadas para ubicar “la navegación del usuario” (por ejemplo, contenidos del shopping cart) es posible que constituyan datos personales. Aunque estos están exentos de la notificación de almacenamiento, se necesitaría alguna base para su procesamiento bajo el RGPD. Llegados a este punto, la base obvia sería que el procesamiento es necesario para, o en respuesta de la petición del usuario, un contrato con el usuario (Art. 6.1 b RGPD).

Interpretaciones de las distintas autoridades de control y el TJUE

Las resoluciones dictadas hasta este momento, hacen especial hincapié en que todas las instalaciones de cookies en el terminal de un usuario que navega en una página web, se supeditan a la obtención previa del consentimiento del interesado, siempre y cuando dichas cookies no resulten necesarias para prestar los servicios de la propia página web (cookies técnicas o necesarias). Con independencia de que la instalación de las cookies redunde o no en un tratamiento posterior de los datos personales del interesado, así lo ha señalado el TJUE.

El propio Tribunal establece que el régimen normativo aplicable a la solicitud y obtención del consentimiento es el establecido en los artículos 4.11 y 7 del RGPD (consentimiento expreso), no siendo válido el consentimiento tácito o la inacción. En estos dos últimos supuestos se encontraría prácticas tales como casillas pre-marcadas o la instalación de las cookies tras la fórmula de “seguir navegando”, sin otorgar al usuario la opción de rechazar la instalación y configuración de las cookies.

La AEPD indicó, en la 10ª Sesión Anual de la AEPD, que esta información granular se puede establecer por capas:

(1) Una primera capa o banner de cookies que debe contener la información esencial sobre las cookies, su aceptación, rechazo y configuración.

(2) Segunda capa o Política de Cookies, la cual tendrá que incluir información como: tipología de las cookies, periodo de conservación, fines, eliminación, etc. Hay que indicar que la Guía de la AEPD sobre el uso de las Cookies, ha introducido un nuevo modelo, la Opción 3, que permite la aceptación de las cookies por la mera navegación. Pinche aquí y acceda a Cookies III. La opción de la AEPD.

Las autoridades de control británica (ICO), francesa (CNIL) y la alemana (DSK) comparten la misma visión.

Cookie	Tipo	Duración	Descripción
cookielawinfo-checkbox-necessary	Técnica	30 minutos	Utilizada para la aceptación de cookies necesarias.
cookielawinfo-checkbox-non-necessary	Técnica	1 año	Utilizada para la aceptación de cookies no necesarias. Actualmente no está siendo utilizada, pero se incorpora en base al plug in instalado.
cuar_private_file-collection-layout	Sesión	Desconocida	Se trata de una cookie de sesión instalada por Wordpress. Dado que es una cookie instalada a través de Wordpress desde Astra Legal Consulting desconocemos más información al respecto.
PHPSESSID	Sesión	Lo que dure la sesión	Esta cookie es nativa de PHP y es usada por el lenguaje de encriptado PHP para permitir que las variables de sesión sean guardadas en el servidor web. Esta cookies es esencial para el funcionamiento de la web.
Player	Sesión	Sesión	Cookie multimedia incrustada en el reproductor de vimeo
tk_ai	Sesión	Lo que dure la sesión	Se usa como ID anónimo si el usuario que inició sesión no está conectado con WordPress.com. Algunas funciones de Jetpack utilizan aplicaciones y servicios de terceros para mejorar la experiencia de los visitantes. Estos incluyen plataformas de medios sociales como Facebook y Twitter (mediante el uso de botones para compartir). Como resultado, las cookies pueden ser establecidas por estos terceros y utilizadas por ellos para rastrear su actividad en línea. No tenemos control directo sobre la información recopilada por estas cookies. Se establecen cookies adicionales para aquellos que usan wp-admin y a través de la cuenta de WordPress.com conectada
viewed_cookie_policy	Técnica	1 año	Cookies de uso interno necesaria para el funcionamiento de la visualización de la política de cookies de la web.
woocommerce_cart_hash	Sesión	Lo que dure la sesión	Esta cookie contiene información sobre el carrito en su totalidad y ayuda a WooCommerce a saber cuándo cambian los datos del carrito.
woocommerce_items_in_cart	Sesión	Lo que dure la sesión	Esta cookie contiene información acerca de la compra y ayuda a actualizar el carro de la compra.
wordpress_logged_in_	Técnica	Lo que dure la sesión	Después del loggin, WordPress activa la cookie wordpress_logged_in_, cuya función es indicar cuando se ha conectado y quién es, siendo utilizado por la interfaz de WordPress.
wordpress_test_cookie	Técnica	Lo que dure la sesión	WordPress establece esta cookie cuando navega a la página de inicio de sesión. La cookie se utiliza para verificar si su navegador web está configurado para permitir o rechazar cookies.
wp_woocommerce_session_	Técnica	2 días	Instala cookies técnicas para facilitar el proceso de compra de los usuarios a través de la web. Esta cookie contiene un código único para cada cliente para que sepa dónde encontrar los datos de la compra en la base de datos de la compra en la base de datos de cada cliente.
wp-settings-1	Técnica	1 año	WordPress utiliza esta cookie para personalizar su vista de la interfaz de administración, y posiblemente también la interfaz del sitio principal.
wp-settings-time-1	Técnica	1 año	WordPress utiliza esta cookie para personalizar su vista de la interfaz de administración, y posiblemente también la interfaz del sitio principal.