La Directiva 2002/58/CE de Privacidad y Comunicaciones Electrónicas, vigente desde 2002, describe cómo debe ser el consentimiento de cookies en un sitio web. Popularmente conocida como ley de cookies, esta directiva europea sobre privacidad se elaboró con el objetivo de garantizar la protección de los datos personales de los usuarios.
En 2009, se puso en marcha la Directiva 2009/136/CE, que establecía que los usuarios debían ser informados de forma clara y comprensible sobre el uso de las cookies. Además, sentaba las bases por las que se debía dar consentimiento explícito para la instalación de rastreadores en el navegador.
Como excepción, se entiende que el uso de cookies técnicas es imprescindible para la correcta visualización de una página web. Por tanto, estas no necesitan ser aprobadas por el usuario.
Veamos cómo ha evolucionado la normativa en estas dos últimas décadas y cómo se aplica en España.
Resumen :
-
¿Cómo debe ser un banner de cookies compatible con la ley en España?
-
¿Cómo garantizar el cumplimiento de la ley de cookies en España?
Nuevas directrices desde 2020 y ámbito de aplicación
La ley de cookies no es una ley propiamente dicha, sino una directiva del Parlamento Europeo. Por tanto, se trata de una recomendación para que cada estado miembro integre un reglamento vinculante en su legislación.
Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en 2018, se produjo una importante modificación que hizo que la directiva se convirtiera en el Reglamento ePrivacy. El borrador ya incluía los nuevos tipos de comunicación electrónica: aplicaciones móviles, correo electrónico, videollamadas, etc., y cómo debía ser el consentimiento de cookies.
¿Qué ha cambiado con la nueva regulación de protección de datos?
La actual ley de cookies establece que el uso de rastreadores debe ser transparente, y su consentimiento, libre y voluntario. De acuerdo con el RGPD, el usuario debe ser informado acerca de los tipos de rastreadores que emplea una página web, cuál es su finalidad y cómo se tratarán los datos recopilados.
Las principales directrices de privacidad y uso de cookies desde 2020 son las siguientes:
-
El consentimiento debe ser previo, informado y voluntario cuando se visitan las páginas web.
-
Se debe informar específicamente sobre las cookies que se usan en la página.
-
Es obligatorio indicar qué fines tienen las cookies, cómo se tratarán los datos y cuáles son las empresas responsables.
-
El banner de cookies debe contener opciones para que el usuario acepte, rechace o configure sus preferencias.
-
Queda prohibido obtener el consentimiento de los usuarios de forma tácita si el usuario sigue navegando.
-
No están permitidos los denominados “muros de cookies”, es decir, no se puede vincular el acceso a los servicios de una web con la aceptación de las cookies.
-
Se debe informar a los usuarios sobre las cookies de terceros.
-
Es necesario ofrecer la opción de habilitar o deshabilitar el uso de cookies en los sitios web.
Actualmente, el Consejo Europeo responsable del Reglamento ePrivacy está trabajando en una nueva versión que ponga en armonía a las diferentes normativas de los estados miembro de la UE.
El objetivo es que todos los países del Espacio Económico Europeo compartan las mismas legislaciones en esta materia.
La aplicación de la ley de cookies en España
La ley de cookies en España está incluida en el Real Decreto Ley 13/2012, de 30 de marzo, que se integró en 2014 en la Ley 34/2002 LSSI-CE. Estas legislaciones marcan las directrices que deben cumplir los responsables de protección de datos.
La Agencia Española de Protección de Datos (AEPD) publicó en 2013 la primera Guía sobre el uso de cookies. La segunda edición vio la luz en 2019, con los contenidos actualizados según la normativa del Reglamento General de Protección de Datos (RGPD).
En 2020, la AEPD publicó una nueva versión adaptada a las últimas directrices del Comité Europeo de Protección de Datos.
Requisitos para cumplir con la ley de cookies en España
Como hemos explicado, con el nuevo RGPD, el consentimiento de cookies debe ser voluntario, informado y transparente. La única excepción es el uso de cookies técnicas, necesarias para un correcto funcionamiento de los sitios web.
El usuario debe poder aceptar o rechazar la instalación de rastreadores cuando entra por primera vez en una página web o después de borrar los datos de navegación de su equipo.
La forma habitual para que el usuario dé su consentimiento es instalar un banner de cookies, es decir, un mensaje con opciones para decidir qué rastreadores se pueden activar durante la visita al sitio web.
Este aviso de cookies debe cumplir con los requisitos vigentes desde 2020 y recogidos en el RGPD. No existe una fórmula estricta; la única condición es que debe informar sobre las cookies que usa la web. Además, el banner debe dar la posibilidad de aceptar, rechazar o configurar los permisos.
Para cumplir con el principio de transparencia, el usuario debe comprender la información que se le proporciona. Por tanto, es necesario utilizar un lenguaje sencillo, sin tecnicismos ni ambigüedades.
¿Cómo debe ser un banner de cookies compatible con la ley en España?
Generalmente, el banner con el aviso sobre los rastreadores contiene un botón o un enlace que lleva hasta la página con la política de cookies, donde se explica con detalle qué cookies se emplean y cómo configurar el consentimiento.
Lo más sencillo para obtener el consentimiento por parte del usuario cumpliendo con las directrices del RGPD es lo que se conoce como “información en dos capas”.
Veamos en qué consiste:
-
Primera capa. Debe ser visible cuando el usuario acceda a la página web. Puede consistir en un banner o una pantalla emergente con un texto breve.
-
Segunda capa. Es la página con la política de cookies que, según recomienda la AEPD, debe ser independiente del aviso legal y de la política de privacidad.
La primera capa debe contener los siguientes datos:
-
Identidad del propietario del sitio web
-
Finalidad de las cookies utilizadas
-
Notificación de uso de cookies de terceros
-
Información general sobre los datos que se recopilan
-
Método para aceptar, configurar o rechazar su uso (suele ser un botón)
-
Enlace visible a la segunda capa informativa
Una vez que el usuario pulsa el enlace a la segunda capa, tendrá acceso a la información detallada de la política de cookies. Este botón también se puede usar para dirigir a los usuarios al panel de configuración de cookies, siempre y cuando el acceso sea directo, sin visitar segunda capa de información.
Para cumplir con las directrices de la AEPD, si los usuarios continúan navegando sin hacer aceptar las cookies, estas se deben desactivar. No está permitido activar los rastreadores en el mismo instante en que el usuario visita la página.
¿Cómo garantizar el cumplimiento de la ley de cookies en España?
Garantizar el cumplimiento de la ley de cookies en España puede ser una tarea muy complicada si se realiza de forma manual. Una de las principales complicaciones es elaborar un listado con todas las cookies que utiliza una página web. Además, es obligatorio incluir enlaces a la política de privacidad de las cookies de terceros.
Las empresas que incumplen el reglamento se enfrentan a sanciones cuyo importe puede ascender a los 20 millones de euros. Las infracciones leves, como no incluir el banner informativo o el enlace a la política de cookies, pueden acarrear multas desde 5.000 hasta 30.000 euros.
Así pues, para estar seguro de que la obtención del consentimiento cumple con la legalidad, lo más recomendable es contar con ayuda experta.
¿Cómo puede ayudar Didomi a cumplir con el RGPD?
La gestión de la privacidad y el consentimiento es una prioridad estratégica para las empresas, ya que es uno de los principales modos de mantener el contacto con sus seguidores.
Didomi desarrolla tecnologías para facilitar la gestión del consentimiento y las preferencias de privacidad en cada punto de contacto con el usuario.
Con el Consent Management Platform (CMP), las empresas tienen la seguridad de cumplir con el RGPD sin perder la posibilidad de disponer de una base de datos de navegación actualizados. Los usuarios pueden elegir libremente y con total garantía qué datos desean compartir.
Las soluciones de Didomi ya han ayudado a numerosas empresas españolas que desean enfrentar el reto que supone el RGPD sin correr riesgos. Incluso facilita la gestión unificada de las preferencias en todos los canales y puntos de contacto de marcas con presencia en países con diferentes normativas.
Con la plataforma CMP de Didomi es posible recoger el consentimiento de los usuarios, analizar su comportamiento y obtener métricas con las que diseñar estrategias de marketing eficaces.
Implemente fácilmente Didomi en entornos web, aplicaciones móviles e, incluso, en smart TV cumpliendo con las normas de privacidad y consentimiento de cookies de acuerdo con la AEPD.