Si tienes un sitio web, es muy probable que utilizas cookies. Si vives en Europa y tu sitio web utiliza cookies, puedes estar incumpliendo la ley. Te presentamos aquí una guía sobre la legislación de la UE en materia de cookies que te ayudará a entender mejor este tema.
Las cookies se han convertido en una parte esencial de nuestra experiencia de navegación por la web. Hacen posible que los sitios web que más visitamos mantengan un registro de nuestras preferencias sin obligarnos a iniciar sesión cada vez. Permiten a los sitios web recordar nuestros nombres de usuario. Permiten a las tiendas online hacer un seguimiento de los artículos que hemos puesto en nuestros carros de la compra. Proporcionan los datos necesarios para algunas de las herramientas de análisis de sitios web más populares. En muchos sentidos, hacen que Internet actúe como esperamos que lo haga.
Entonces, ¿por qué la UE ha considerado necesario regular las cookies?
Desafortunadamente, el uso de cookies también plantea una serie de problemas de privacidad.
Las cookies de seguimiento -cookies de terceros colocadas en los sitios con fines publicitarios- pueden recoger tus hábitos de navegación, ver qué tipo de productos ves y qué compras. Utilizan esa información para ofrecerle anuncios específicos, tanto en el sitio original que visitó como en otros sitios que tengan las mismas cookies de terceros instaladas. Así, si estás buscando unidades SSD en Amazon, puedes empezar a ver anuncios de ofertas de SSD mientras navegas por Facebook o visitas tu tienda de tecnología favorita.
Para algunos usuarios de Internet, esto es extremadamente útil. Si está tratando de encontrar el mejor precio para un producto, ese complemento de terceros podría tener exactamente lo que estás buscando. Y para los propietarios de sitios web, las cookies de seguimiento pueden ser muy lucrativas. Cuanto más orientados estén sus anuncios, más posibilidades tendrán los usuarios de hacer clic en ellos. La mayoría de los usuarios de Internet han aceptado en gran medida que las cookies de seguimiento son un mal necesario para mantener nuestros sitios favoritos libres.
Pero para muchos, las cookies hacen que sea demasiado fácil para los sitios web rastrear todos nuestros movimientos en línea y utilizar nuestros historiales de navegación para su propio beneficio personal.
En 2011, la Unión Europea estuvo de acuerdo. Consideraron que los usuarios de Internet tenían derecho a saber qué y cómo utilizaban las cookies los sitios web que visitaban y la posibilidad de excluirse de esas cookies cuando lo desearan.
Con la aprobación de la Directiva que se conoce como la Ley de Cookies, el Parlamento Europeo ordenó que todos los países de la UE debían establecer leyes que exigieran que los sitios web obtuvieran el consentimiento informado antes de poder almacenar o recuperar información en el ordenador o dispositivo habilitado para la web de un visitante. En otras palabras, si estás en Europa y alojas un sitio web que utiliza cookies, estás obligado a informar a tus visitantes de que utilizas cookies, a hacerles saber para qué se utilizan esas cookies y a obtener su consentimiento antes de poder colocarlas en su dispositivo.
¿Qué es la legislación sobre cookies de la UE?
La legislación sobre cookies de la UE comenzó como una directiva de la Unión Europea, cuyo objetivo era proteger la privacidad en línea. Desde entonces, todos los países de la UE han adoptado alguna variación de esta política.
La legislación de la UE sobre cookies exige 4 acciones a los propietarios de sitios web que utilizan cookies:
- Cuando alguien visita tu sitio web, debes informarle de que tu sitio utiliza cookies.
- Debes proporcionar información detallada sobre cómo se utilizarán los datos de las cookies.
- Debes proporcionar a los visitantes algún medio para aceptar o rechazar el uso de cookies en tu sitio.
- Si se niegan, tienes que asegurarte de que no se colocarán cookies en su máquina.
La forma en que maneje estos requisitos depende enteramente de ti, y discutiremos algunas de tus opciones más adelante. Lo importante es que los gestiones.
Algunas cookies no necesitan consentimiento
Por supuesto, no todas las cookies son malas. De hecho, algunas son esenciales para el buen funcionamiento de un sitio web. La UE entiende esto y hace una excepción para las cookies que son «estrictamente necesarias» para cumplir con los servicios solicitados por los visitantes de tu sitio web.
Esta excepción es especialmente importante para los minoristas en línea. Cuando visitas tu tienda online favorita, esperas que los artículos que añades a tu cesta de la compra sigan estando en ella cuando pases por caja. Las cookies se encargan de ello. Si se excluye la utilización de esas cookies, se está renunciando a la misma razón por la que se visitó el sitio web en primer lugar. Preguntar a un cliente si quiere permitir que las cookies hagan funcionar su cesta de la compra sería como preguntarle si quiere que el hilo mantenga su camisa unida.
Estrictamente necesario
El alcance exacto de lo que es «estrictamente necesario» no está claramente definido. En el caso anterior, cualquier persona que acuda a tu sitio web para comprar espera que el carrito de la compra funcione. Estas cookies son necesarias.
Por otro lado, ofrecer a los clientes una experiencia de usuario personalizada o sugerencias de productos a medida no es un requisito para una tienda online, y las cookies que permiten estas funciones no entran en la categoría de «estrictamente necesarias». Deberá obtener el consentimiento antes de utilizarlas.
Las cookies que proporcionan funciones de seguridad para los sitios web en los que se esperan altos niveles de seguridad, como los sitios de banca en línea, también se consideran estrictamente necesarias.
Las directrices exactas de la UE sobre la excepción «estrictamente necesaria» son las siguientes
«Ello no impedirá el almacenamiento o acceso de carácter técnico con el único fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida en que sea estrictamente necesario para que el prestador de un servicio de la sociedad de la información explícitamente solicitado por el abonado o usuario pueda prestar el servicio.»
Si no estás seguro de si tus cookies son estrictamente necesarias, lo mejor es consultar a los reguladores locales. Ellos pueden proporcionarle información adicional y directrices específicas para tu país. En general, es mejor pecar de precavido. A menos que sepas absolutamente que tus cookies son estrictamente necesarias, asume que no lo son.
Cualquier cookie que no entre en la definición de «estrictamente necesaria» necesita el consentimiento antes de poder ser almacenada en el dispositivo de un visitante.
Esto no es sólo para las cookies
La legislación sobre cookies no se limita a las cookies. De hecho, las cookies nunca se mencionan en la propia normativa. Hay muchas formas de almacenar la información del usuario, y muchas de ellas implican el envío de archivos al ordenador, teléfono o tableta del usuario. El reglamento evita a propósito nombrar explícitamente cualquier tecnología, para incluir todas las tecnologías de este tipo, así como las que aún no se han creado.
¿Qué significa esto? Las cookies son la tecnología más comúnmente utilizada para almacenar información del usuario en los dispositivos personales, razón por la cual el reglamento se conoce comúnmente como la Legislación de Cookies o Ley de Cookies. Sin embargo, cualquier otra tecnología que almacene información dentro del navegador web de un usuario o en cualquier otro lugar de su dispositivo, debe ser revelada y recibir aprobación.
Esto incluye herramientas como Flash y HTML5 Local Storage, que almacenan información localmente de forma similar a las cookies.
¿Me afecta esto?
Eso depende de si tu sitio web utiliza cookies o no. Lo más probable es que lo haga, aunque no te des cuenta.
La mayoría de los sistemas modernos de gestión de contenidos, como WordPress o Drupal, utilizan cookies para verificar quién eres, iniciar sesión o hacer un seguimiento de tus comentarios. El software de blogs, los foros y muchas otras aplicaciones web utilizan cookies por muchas de las mismas razones. Las tiendas online utilizan cookies para todo, desde la cesta de la compra hasta el inicio de sesión del usuario o las sugerencias de productos a medida. Si utilizas Google Analytics, Google AdSense o AdWords, o plugins de redes sociales como los botones de «me gusta», tu sitio web utiliza cookies. Cuando se utilizan vídeos incrustados en YouTube u otros contenidos multimedia, estos también pueden contener cookies.
Si todavía no estás seguro, puedes ver las cookies de tu sitio web con Google Chrome. Sólo tienes que abrir las Herramientas para desarrolladores y hacer clic en la pestaña Recursos. Allí podrás ver las cookies de la página actual. Asegúrate de visitar todas las páginas y de probar todos los puntos de interacción posibles: dejar un comentario, iniciar sesión, dar un «me gusta» a la página en Facebook, etc.
Si no encuentras ninguna cookie, probablemente no tengas que preocuparte. Pero si hay cookies, es el momento de considerar tus opciones.
¿Cómo cumplir con la ley de cookies de la UE?
La normativa de la UE no establece requisitos específicos de cumplimiento. Simplemente establecen requisitos de alto nivel. La forma de cumplirlos depende en gran medida de ti. Aquí tienes algunas opciones:
Opción 1 – Deshacerse de las cookies
Esto parece bastante obvio, pero puede no ser tan fácil como crees. Si sólo tienes un sitio web simple y estático, deshacerte de tus cookies debería ser fácil. Utiliza el método de Google Chrome anterior para averiguar dónde existen las cookies, y deshazte de ese código. Puede ser tan sencillo como eliminar un campo de comentarios o ese botón de «me gusta» tan poco utilizado.
Sin embargo, si tu sitio web tiene algo más complicado que el HTML estático, deshacerse de las cookies será mucho más difícil, y tienes que considerar lo que estarás sacrificando en el proceso. Si publicas un blog diario en tu sitio, las cookies son esenciales para los comentarios. ¿Quiere perder los comentarios sólo para evitar que sus visitantes conozcan las cookies? Probablemente no.
Opción 2 – Añadir una tecnología emergente o similar
No hay instrucciones específicas sobre cómo hay que informar a los usuarios, ni sobre qué información hay que proporcionarles exactamente. Sin embargo, hay algunos enfoques generalmente aceptados.
En primer lugar, hay que informar a los usuarios de que se están utilizando cookies. Esto puede hacerse mediante una ventana emergente, una barra de cabecera o una tecnología similar. La redacción no tiene que ser compleja ni detallada en este punto. Los detalles se pueden proporcionar en otro lugar. Lo importante es que la advertencia exista, y que incluya la opción de excluirse de las cookies.
La barra emergente/encabezado que utilices debe tener un lugar para que los usuarios consientan o se excluyan de las cookies.
Opción 3 – Obtener el consentimiento implícito
Dependiendo de la interpretación de la ley de tu país, puede que sólo necesites obtener el «consentimiento implícito» del usuario. En lugar de obligar a todos los usuarios a hacer clic en «aceptar» antes de que puedan acceder a tu sitio, puede mostrar un breve mensaje informando de que se están utilizando cookies, normalmente a través de una barra de cabecera o algún otro método no obstructivo.
Este es el método que utiliza el gobierno del Reino Unido; sin embargo, antes de decidirte por esta vía, debes consultar a tu regulador local para asegurarte de que cumple los requisitos de tu país.
Opción 4 – Añadirlo a los términos y condiciones
Incluir una ventana emergente puede no proporcionar la mejor experiencia al usuario, por lo que algunas empresas han optado por incluir la divulgación de las cookies dentro de sus Términos y Condiciones. Este puede ser un método muy eficaz y no intrusivo, pero hay un par de advertencias.
En primer lugar, los usuarios tienen que aceptar el uso de cookies, por lo que, si incluye la información en sus condiciones generales, necesita una forma de que los usuarios aprueben sus condiciones generales. Esto se suele hacer como parte del proceso de registro. Si tu sitio web no requiere que los usuarios se registren, es probable que esta opción no te sirva.
En segundo lugar, no puedes simplemente añadir el lenguaje de las cookies a tus Términos y Condiciones existentes porque necesitas obtener el consentimiento específicamente para el uso de cookies. Esto significa que, si ya tiene usuarios que han aceptado los términos y condiciones, después de añadir el lenguaje de las cookies tendrás que pedirles que revisen y acepten los nuevos términos y condiciones.
Opción 5 – Obtener un programa o llamar a una empresa que lo haga por ti
Hay un montón de aplicaciones y plugins disponibles que pueden ayudarte a cumplir con las leyes de cookies. Dependiendo del programa, pueden ayudarte con tareas como la identificación de las cookies en tu sitio web, la creación de una lista detallada de cómo se utilizan tus cookies, la información a los usuarios sobre el uso de las cookies y la obtención de su consentimiento. Algunos programas incluso ajustan la configuración y la información a medida que cambian las cookies.
Nosotros ofrecemos una solución GDPR (RGPD en España) para ayudarte a cumplir con la normativa. Sólo tienes que llamarnos o utilizar el formulario de contacto en esta web.
¿Cuándo obtener el consentimiento?
El consentimiento debe obtenerse la primera vez que un usuario visita tu web.
No es necesario obtenerlo en las visitas posteriores (debería poder identificar a los visitantes que vuelven, gracias a las cookies). Una vez recibido el consentimiento, se puede asumir que el usuario consiente esas mismas cookies cada vez que vuelve.
Tampoco es necesario obtener el consentimiento cada vez que se cambian las cookies. Siempre que haya explicado los propósitos de las cookies en el sitio web, los cambios en esas cookies no representan una violación del acuerdo original, a menos que se hayan hecho cambios significativos en la forma en que se utiliza la información de las cookies. En ese caso, tendrás que volver a pedir el consentimiento a los usuarios.
Proporcionando información sobre las cookies
Independientemente del método que utilices para obtener el consentimiento, tienes que proporcionar información detallada sobre los tipos de cookies que utilizas y cómo se utilizan. Esto puede hacerse en una página separada de divulgación de «cookies», en una política de cookies separada o como parte de la política de privacidad o los términos y condiciones de tu sitio web. Dondequiera que se almacene esta información, debe ser accesible a través de un enlace situado en cada página de tu sitio.
Como ocurre con todo lo relacionado con esta legislación, no se dispone de datos concretos sobre la información que debe facilitarse. Sin embargo, lo mejor es detallar los tipos de cookies que se utilizan y cómo se usa la información de cada uno de esos tipos de cookies. No es necesario detallar cada una de las cookies de tu sitio web, ya que muchas de ellas hacen esencialmente lo mismo.
Sin embargo, es particularmente importante llamar la atención sobre las cookies de terceros que puedan estar presentes, ya que es donde es más probable que se metan en problemas por incumplimiento.
También puede ser una buena idea proporcionar alguna información sobre lo que son las cookies, aunque esto no es un requisito. Cuanta más información proporcione a los visitantes de tu sitio web, más cómodos se sentirán los interesados en las cookies. Hay mucha información disponible sobre todos los tipos de cookies, así que aprovecha la oportunidad para educar a tus usuarios.
Una vez que hayas implementado tu proceso de divulgación de cookies, asegúrate de auditar regularmente tu sitio para ver si hay cambios y actualizar cualquier información relevante sobre las cookies para que coincida.
Entender las cookies
¿Qué es una cookie?
Una cookie no es más que un archivo de texto muy pequeño. Cuando el usuario visita un sitio web, el servidor que lo aloja coloca este archivo en su ordenador, normalmente en algún lugar de los archivos de configuración de su navegador. Una vez que está en su ordenador, la cookie actúa como una tarjeta de recompensas que puede tener en su supermercado local. No obtendrá café gratis con ella, pero la próxima vez que visite ese sitio web, la cookie permitirá al sitio saber quién es el usuario y cualquier otra información relevante necesaria para personalizar su experiencia de usuario.
La información exacta que se almacena en la cookie varía de un sitio a otro, dependiendo de la información necesaria para esa experiencia de visualización en particular. En la mayoría de los casos, le identificará de alguna manera. Por ejemplo, si el sitio requiere un inicio de sesión, la cookie puede permitirle seguir conectado, o al menos permitir que el sitio recuerde el nombre de usuario. Si siempre se utiliza el mismo sitio meteorológico para obtener la previsión local, las cookies permiten que ese sitio recuerde su ubicación, para que no tenga que volver a introducirla cada vez.
Los sitios que utilizan cookies publicitarias pueden colocar información sobre los artículos que has visto o comprado, que luego puede utilizarse para personalizar los anuncios que veas en el futuro. Volviendo a nuestra analogía con la tarjeta de la tienda, esto es muy parecido a que tu tienda de alimentación te dé cupones para sus granos de café de Brasil, porque la última vez que fuiste compraste un paquete de galletas sin gluten.
Tipos de cookies
Hay tres tipos principales de cookies:
Cookies de sesión
Las cookies de sesión son cookies temporales. Almacenan información sobre la sesión actual y se borran cuando se cierra el navegador. Este tipo de cookies se utiliza a menudo para hacer un seguimiento de cosas como los artículos que se colocan en la cesta de la compra, o para almacenar información de seguridad temporal, como la que puede ser necesaria al acceder al sitio web de tu banco. Por eso, cuando salgas del sitio de tu banco, normalmente te aconsejará que cierres la ventana de tu navegador. Al hacerlo, se eliminarán las cookies de sesión. Las cookies de sesión son las que menos problemas de privacidad plantean, y muchas de ellas entran en la categoría de «estrictamente necesarias».
Cookies permanentes
Las cookies permanentes, a veces llamadas persistentes o almacenadas, se colocan en el disco duro de tu dispositivo y no se eliminan cuando se cierra el navegador. Estas cookies se pueden utilizar para reconocer a los usuarios cuando vuelven a tu sitio, rastrear sus patrones de visualización dentro de tu sitio con el fin de mejorar la experiencia del usuario, y proporcionar datos para tus programas de análisis. Las cookies permanentes pueden almacenar información durante un tiempo indefinido, por lo que son muy útiles cuando se trata de crear una experiencia de usuario personalizada o analizar el comportamiento de los visitantes que regresan. También pueden utilizarse con fines publicitarios y, cuando hay anuncios de terceros, pueden hacer que la información del usuario o del ordenador se comparta con otros sitios web. Aquí es donde entra en juego gran parte de la preocupación por la privacidad de las cookies.
Cookies independientes
Las cookies independientes del navegador, como las cookies de Flash o Silverlight, actúan de forma muy parecida a las cookies permanentes, excepto que no son almacenadas por el navegador. En su lugar, se almacenan en sus respectivos archivos de programa. Esto hace que sean un poco más difíciles de eliminar, ya que puede ser necesario instalar un programa separado, como el Flash Cookie Remover de Adobe. Para los propietarios de sitios web, pueden ser una herramienta valiosa, ya que pueden utilizarse para hacer una copia de seguridad de los datos de las cookies tradicionales. De este modo, aunque un usuario elimine sus archivos de cookies, el sitio web puede seguir reconociéndolo y ofrecerle la misma experiencia personalizada recuperando la información de la cookie de Flash. Por supuesto, si estás utilizando cookies independientes del navegador en tu sitio, tendrás que comunicarlo en tu sitio web.
Bloqueo de cookies
Todos los navegadores modernos ofrecen a los usuarios algún método para bloquear las cookies. Suele formar parte de la configuración de seguridad o privacidad. En algunos casos, se trata simplemente de una opción de «No rastrear», que sirve para indicar a los sitios web que no se desea recibir cookies de seguimiento de terceros. No hay garantía de que esta configuración sea respetada, pero ya que está revisando esta página, es una buena idea asegurarse de que el sitio web lo haga.
En algunos casos, los navegadores pueden configurarse para bloquear automáticamente diferentes tipos de cookies. Chrome, por ejemplo, permite a los usuarios volcar los datos locales cuando se cierra el navegador, bloquear los sitios para que no coloquen ningún dato en el ordenador o bloquear todas las cookies de terceros. La legislación de la UE permite que estas configuraciones se utilicen para determinar el consentimiento; sin embargo, no todos los navegadores permiten a los usuarios establecer tales configuraciones específicas, por lo que no se debería confiar en esto a efectos de cumplimiento.
¿Qué pasa si un usuario opta por excluir?
Si los usuarios deciden excluirse de las cookies de tu sitio web, tienes varias opciones disponibles para gestionar su solicitud.
La opción más fácil es no hacer nada. Simplemente, comunique al usuario que se están utilizando cookies, y que ellos tienen que dar el siguiente paso. Si no quieren aceptar tus cookies, pueden abandonar tu sitio o actualizar la configuración de su navegador. Esta opción supone menos trabajo para ti, pero no proporcionará la mejor experiencia a los usuarios.
Un paso más allá es proporcionar a los usuarios información sobre cómo actualizar la configuración de su navegador. Muchos sitios proporcionan información detallada para la mayoría de los navegadores. Puedes enlazar con uno de estos sitios o crear una guía similar por tu cuenta. Esta guía puede aparecer en una ventana emergente después de que el usuario rechace el consentimiento, o puede formar parte de la política de privacidad, de la página de información sobre cookies o de la propia página.
Si quieres agilizar la experiencia del usuario, también puedes configurar tu sitio web para que cierre las cookies cuando el usuario rechace el consentimiento. O, mejor aún, permitir que el usuario seleccione el tipo de cookies con el que está de acuerdo y desactivar todas las demás.
Esto puede ser un poco complicado, sobre todo si no tienes muchos conocimientos técnicos. Afortunadamente, nosotros podemos ayudarte en estar en cumplimiento de las cookies o podemos hacerlo por ti. Este enfoque proporcionará la mejor experiencia de usuario en general, y la menor posibilidad de que los usuarios simplemente abandonen tu sitio. Sin embargo, es probable que también dé lugar a mayores tasas de exclusión o de exclusión parcial. Si depende en gran medida de las cookies para los análisis o los beneficios de la publicidad de terceros, puede que no sea la mejor opción para tu sitio.
¿A qué sanciones pueden enfrentarse los propietarios de sitios web si no cumplen la normativa?
Pero, en la mayoría de los casos, si no se cumple, los reguladores locales probablemente tomarán una de las siguientes medidas:
Solicitar información: antes de que el regulador local comience a solicitar cambios, puede solicitar que le proporcione información adicional. Esto puede implicar detalles sobre los tipos de cookies que utiliza tu sitio, enlaces a tu sección de información sobre cookies, o cualquier otra cosa que pueda ayudarles a determinar si tu sitio cumple con la normativa o si es necesario hacer más cambios.
Solicitud de cambios – Si su regulador local determina que el sitio web no es conforme, es probable que solicite que se tomen algunas medidas para hacerlo. Considera esto como una advertencia amistosa. Si todavía no has añadido esa ventana emergente de consentimiento, ahora es el momento de hacerlo.
Ejecución – Esta es la solicitud de cambio no tan amable. En este punto, el regulador local te dará acciones específicas que deben ser completadas en un tiempo determinado. Si todavía no has mencionado esos anuncios de Google en tu página de información sobre cookies, ahora tienes que hacerlo. Si no lo haces, podrías enfrentarte a cargos penales.
Multas: las directrices sobre lo que da derecho a una multa varían de un país a otro, al igual que el importe máximo de la multa que puede recibir. Para conocer los detalles específicos, debes consultar a tu regulador local. O, mejor aún, asegúrate de que tu sitio web cumple la normativa, para no tener que preocuparte por las multas.
Hay una última sanción a la que nunca te enfrentarás personalmente, pero que merece la pena mencionar. Si tu organismo regulador local no hace cumplir la legislación sobre cookies, también puede enfrentarse a multas u otras sanciones.
Denunciar un sitio web por incumplimiento de la normativa
Dependiendo de tu opinión sobre la Legislación de Cookies, te preguntarás por qué alguien denunciaría a un sitio web por incumplimiento. Tanto si apoya la normativa como si no, el uso de cookies, especialmente las de terceros, plantea problemas de privacidad, y cualquier sitio web que oculte intencionadamente el uso de cookies a sus visitantes merece cierto escrutinio. Tal vez sean simplemente perezosos. Tal vez estén protestando contra la normativa. O tal vez realmente tienen algo que ocultar.
Así que, si te encuentras con un sitio que no cumple con la normativa, tienes un par de opciones.
Puede no hacer nada. Si no apoyas las leyes sobre cookies, o no te importa, estás en tu derecho de ignorar la infracción.
O puedes denunciarlos a tu regulador local. Dependiendo de dónde estés, puede que tengas que hacerlo en persona o por teléfono. Si estás en España, tienes recursos de denuncia en línea que puedes utilizar.
Ten en cuenta que el simple hecho de presentar una queja no garantiza que se tomen medidas contra la organización incumplidora, pero el organismo regulador revisará la queja. También es importante tener en cuenta que las organizaciones situadas fuera de tu país están sujetas a requisitos legales diferentes, pero en este caso tu regulador local debería poder aconsejarte sobre la mejor forma de actuar.
Ficha técnica del consentimiento de cookies del GDPR
Preguntas | España | EU EDPB |
¿Es válido el consentimiento por desplazamiento? | NO | NO |
¿Es válido el consentimiento al continuar la navegación? | NO | NO |
¿Deben figurar en el aviso de cookies botones explícitos de «aceptación» y «rechazo»? | SI (1) | |
¿Las opciones de aceptación y rechazo deben ser igualmente visibles (requisito de igual prominencia)? | Mejor práctica | SI |
¿Es necesario el bloqueo previo de las cookies cuando se requiere el consentimiento? | SI (2) | SI |
¿Se admiten muros de cookies completos? | NO (3) | NO |
¿Deben enumerarse las cookies una por una? | NO (4) | |
¿Deben enumerarse los fines en la primera capa del aviso de cookies? | SI | No especificado |
¿Debe el consentimiento ser granular por finalidad? | SI (5) | SI |
¿Se requiere una prueba de consentimiento acorde con el RGPD? | No especificado (pero implícita) | No se indica explícitamente |
¿Debe ser tan sencillo retirar el consentimiento como darlo? | SI (6) | SI |
¿Se recomienda el uso de un banner de consentimiento? | SI | |
¿Están las cookies estrictamente necesarias exentas del requisito de consentimiento? | SI (7) | SI |
¿Pueden aplicarse bases jurídicas del RGPD distintas del consentimiento (por ejemplo, el interés legítimo)? | NO (8) | |
¿Hay que enumerar e identificar a las cookies de terceros? | SI (9) | |
¿Se especifica cuánto tiempo debe durar el consentimiento a una cookie? | Indirecto (10) | No se indica explícitamente la duración (11) |
¿Se permiten las casillas premarcadas? | No especificado | NO |
(1) La autoridad española enumera dos ejemplos como válidos:
Cuando el aviso de cookies contiene tanto botones de «Aceptación» como de «Rechazo», o cuando el aviso de cookies contiene un botón de «Aceptación» y un enlace dentro del texto del aviso que va a la política extensa de cookies, lo que permite a los usuarios establecer sus preferencias según el propósito.
(2) El propietario de un sitio web que gestiona varios sitios web SIMILARES puede informar a los usuarios sobre las cookies y recabar el consentimiento de todos ellos de una sola vez para el uso de cookies en varios sitios web de su propiedad o incluso de terceros relacionados con él. Sin embargo, esto sólo debe aplicarse a los usuarios españoles.
(3) Los muros de cookies sólo son aceptables si el usuario tiene una alternativa para acceder al servicio sin aceptar cookies.
(4) Un listado por finalidad es válido y suficiente.
(5) No se dice explícitamente, pero está claramente implícito.
(6) La aplicación técnica de esto depende en gran medida de cómo se recoja el consentimiento. Por ejemplo, si el consentimiento se recoge desplazándose hacia abajo, debe haber un botón de «rechazar todo» en el banner para permitir una forma igualmente fácil de rechazar.
(7) Cookies y rastreadores estrictamente necesarios:
Para llevar a cabo o facilitar la transmisión de una comunicación a través de una red de comunicaciones electrónicas
Para prestar un servicio explícitamente solicitado por el usuario
No requieren el consentimiento del usuario.
Ejemplo de cookies exentas de consentimiento:
Cookies técnicas;
Cookies de preferencia y personalización.
(8) A excepción de las cookies estrictamente necesarias, se menciona el consentimiento como base legal para las demás cookies. No se mencionan otras bases legales.
(9) Los terceros deben ser identificados por su marca comúnmente conocida, sin embargo, no es necesario identificar la entidad legal específica.
(10) En referencia al WP29, la recomendación es volver a pedir el consentimiento como máximo 24 meses después de haberlo obtenido.
(11) La EDPB afirma que «en principio, puede ser suficiente pedir el consentimiento del interesado una vez. Sin embargo, los responsables del tratamiento deben obtener un nuevo consentimiento específico si los fines del tratamiento de datos cambian después de haber obtenido el consentimiento o si se prevé una finalidad adicional.»