Computer-3 Noticias TIC

Expertos en transformación digital y personal desde 1985

¿Qué debo tener en cuenta para adaptar mi sitio web a las nuevas exigencias de la AEPD?

DotnetKicks
<p><img src="/image.axd?picture=/que no se te atraganten las cookies.png" alt="" /></p> <p>La publicación de la última versión de la <a href="https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf">guía de cookies</a> de la AEPD, el pasado mes de julio, en la que se fijan los criterios definitivos para la configuración de políticas de cookies dentro de páginas web y aplicaciones móviles, ha generado una gran inquietud al respecto en todo tipo de entidades de ámbito público y privado, acerca de si sus páginas webs cumplirían con estos criterios o no.</p> <p>Todas las organizaciones deberán revisar a partir del día <u>del 31 de octubre</u>, fecha a partir de la que será exigible el cumplimiento de estos nuevos criterios, la configuración actual de sus políticas de cookies para verificar que se cumplan con todas las exigencias fijadas desde la AEPD y evitar eventuales sanciones por incumplimientos de estos nuevos requisitos legales.</p> <p>¿Qué debo tener en cuenta para adaptar mi sitio web a las nuevas exigencias de la AEPD?</p>

La publicación de la última versión de la guía de cookies de la AEPD, el pasado mes de julio, en la que se fijan los criterios definitivos para la configuración de políticas de cookies dentro de páginas web y aplicaciones móviles, ha generado una gran inquietud al respecto en todo tipo de entidades de ámbito público y privado, acerca de si sus páginas webs cumplirían con estos criterios o no.

Todas las organizaciones deberán revisar a partir del día del 31 de octubre, fecha a partir de la que será exigible el cumplimiento de estos nuevos criterios, la configuración actual de sus políticas de cookies para verificar que se cumplan con todas las exigencias fijadas desde la AEPD y evitar eventuales sanciones por incumplimientos de estos nuevos requisitos legales.

¿Qué debo tener en cuenta para adaptar mi sitio web a las nuevas exigencias de la AEPD?

 1. INFORMACIÓN Y TRANSPARENCIA

 La guía de la AEPD le da mucha importancia a la transparencia y a la información que se debe facilitar sobre las cookies que se utilizan en las páginas web. Por ello, en la guía, se recomienda que los personas usuarias de las páginas web deben poder acceder, de una manera fácil y sencilla, y con un lenguaje claro y sin tecnicismos que lleven a confusiones, a la información sobre las cookies que se utilizan en un sitio web desde un primer momento, aconsejándose el uso de un sistema de información por capas.

 De este modo, en una primera capa informativa, (el típico “banner de cookies” de cualquier web) se deberá incluir como mínimo la siguiente información:

 Identidad del editor del sitio web (bastaría con el nombre o marca comercial, siempre y cuando los datos fiscales consten en el aviso legal de la web o en la segunda capa informativa)

  • Las finalidades para las que se van a emplear las cookies.
  • Informar si las cookies que se van a instalar son propias del editor o son también cookies de terceros.
  • Informar sobre el tipo de datos utilizados, especialmente si tienen finalidad publicitaria o de perfilado.
  • Breve explicación de cómo la persona podrá consentir o rechazar el uso de las cookies. Dando la posibilidad a la persona de acceder a un panel de configuración de cookies o un Consent Management Platform (CMP) en el que la persona pueda configurar qué cookies desea instalar en su dispositivo, aceptarlas todas o rechazarlas todas, de manera previa a la aceptación de la política de cookies.
  • Inclusión de un enlace claramente visible a una segunda capa informativa en la que facilite una información más detallada de las cookies empleadas por el sitio web.

Un ejemplo válido de este tipo de información de primera capa sería el siguiente:

 En la segunda capa informativa se debe incluir una información mucho más detallada sobre las cookies de la web, informándose sobre los siguientes puntos:

  • Definición y función genérica de las cookies.
  • Información sobre el tipo concreto de cookie que se usa en el sitio web y la finalidad que persigue.
  • Información sobre la forma de aceptar, denegar o revocar el consentimiento prestado en la primera capa y sobre cómo eliminar las cookies del dispositivo.
  • Información sobre las transferencias internacionales de datos que pueda realizar el editor del sitio web o de la aplicación móvil.
  • En caso de elaborarse perfiles de la persona usuaria, se deberá informar sobre la lógica empleada para la generación del perfil y de la importancia que puedan tener las consecuencias previstas en caso de que este perfilado implique una toma de decisiones automatizadas que tenga consecuencias jurídicas para las personas usuarias o les puedan afectar negativamente.
  • Información sobre el período de conservación de los datos personales que se puedan llegar a tratar.
  • Incluir el resto de información exigida por el artículo 13 del RGPD, que se podrá incluir mediante una remisión de los interesados a la política de privacidad de la entidad.

 

La AEPD recomienda que la información de ambas capas informativas sea lo más breve y sucinta posible para evitar la denominada “fatiga informativa” y debe evitarse el uso de expresiones confusas como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias que almacenan información sobre el comportamiento de las personas usuarias mediante el análisis de sus hábitos de navegación (realizar perfilados de usuarios).

 2. CONSENTIMIENTO DE LA PERSONA USUARIA

 La AEPD recuerda en su guía que el consentimiento para la instalación de cookies debe cumplir con los requisitos establecidos en el artículo 4 del RGPD, de forma que debe tratarse de una acción claramente afirmativa de la persona usuaria en plena conciencia de las consecuencias de dicha acción

 Ya no se consideraría válido como consentimiento la inacción de la persona usuaria al respecto del aviso de cookies, como continuar navegando por el sitio web o acceder a alguna sección o contenido disponible, por lo que se recomienda que se configure el aviso de cookies del sitio web de modo que no se pueda acceder a ninguna otra parte del sitio web o contenido hasta que la persona gestione sus preferencias de cookies. Por ello, debe implementase un sistema que permita a la persona usuaria aceptar de manera granular las cookies que se puedan utilizar en sitio web o aplicación. 

 Tal y como se expuso anteriormente, en la explicación del contenido de la primera capa informativa, la persona usuaria debe poder acceder a un configurador de cookies o Consent Management Platform en el que se le permita configurar las cookies que desea instalar en su dispositivo en función de la finalidad que persiga la cookie, de manera previa a aceptar la política de cookies del sitio web.

 Es importante en esta parte, resaltar que la AEPD exige que se les facilite a las personas usuarias la posibilidad de rechazar todas las cookies del sitio web de una manera sencilla, a través de un botón u opción específica para ello, de manera que sea tan fácil otorgar el consentimiento como retirarlo.

Otro punto a tener en cuenta es que se debe facilitar a la persona usuaria la posibilidad de guardar la elección de cookies que ha decido instalar en su dispositivo, debiendo indicarse expresamente que, si la persona usuaria guarda su elección sin haber seleccionado ninguna cookie, esto equivaldrá al rechazo de todas cookies del sitio web.

 En definitiva, no se deberá proceder a la instalación de ningún tipo de cookie no necesaria si la persona usuaria no ha dado previamente su consentimiento explícito.

 Respecto al acceso de menores a un sitio web, cualquier sitio web cuyos contenidos se encuentren dirigidos a menores de 14 años deberán aplicar un esfuerzo adicional en la recogida del consentimiento, puesto que tienen que verificar que el consentimiento de la persona usuaria, menor de 14 años, es dado por sus padres o tutores legales.

 Para ello, la guía de la AEPD recomienda el uso de fórmulas del tipo: “Si tienes menos de 14 años, pide a tu padre, madre o tutor que lea este mensaje” o “Llama a tu padre, madre o tutor para que lea este mensaje y ponga en qué año nació”, justo antes de la primera capa informativa de cookies.

 3. COOKIES EXENTAS DE CONSENTIMIENTO

 La AEPD establece, en su guía, el alcance exacto del Art. 22.2 de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE) según el cual solamente podrán ser utilizadas sin el consentimiento informado de la persona usuaria las cookies denominadas “técnicas”, dentro de las que se incluirían:

  1. Las que se utilicen con el único fin de lleva a cabo la transmisión de una comunicación a través de una red de comunicaciones.
  2. Las estrictamente necesarias para prestar un servicio que haya sido solicitado explícitamente.

En definitiva, este tipo de cookies serían aquellas imprescindibles y estrictamente necesarias para el correcto funcionamiento de un sitio web y para la utilización de las diferentes opciones y servicios que se ofrecen. Por ejemplo, las que sirven para el mantenimiento de la sesión, la gestión del tiempo de respuesta, rendimiento o validación de opciones, utilizar elementos de seguridad, compartir contenido con redes sociales, etc.

 A pesar de tratarse de cookies que se encuentran exentas de la necesidad de recabar el consentimiento de la persona usuaria, la AEPD recomienda que en todo momento se informe acerca de su uso por parte del sitio web o de la aplicación móvil, en cumplimiento del principio de transparencia e información que pretende vertebrar el mundo de las políticas de cookies.

 4. DENEGACIÓN DE ACCESO AL SERVICIO EN CASO DE RECHAZO DE LAS COOKIES (MURO DE COOKIES)

 La AEPD en su guía expone que no podrá condicionarse el acceso a un sitio web o acceso a servicios ofrecidos en el mismo a la aceptación de la instalación de cookies.

 El acceso a los servicios y funcionalidades de un sitio web no puede supeditarse a la aceptación por parte de la persona usuaria del uso “obligatorio” de las cookies del sitio. Por ello, no podrán emplearse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento, especialmente en los casos en los que se impida ejercer un derecho legalmente reconocido a la persona usuaria, por ser, por ejemplo, el acceso a un sitio web el único medio facilitado para poder ejercitar tal derecho.

No obstante, podrán existir determinados supuestos en los que la no aceptación de las cookies impida el acceso al sitio web de la persona usuaria, siempre que se informe adecuadamente al respecto a la persona usuaria y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. En este supuesto los servicios de ambas alternativas deberán ser equivalentes, sin ser válido que el servicio equivalente lo ofrezca una entidad diferente al titular del sitio web.

 5. BUENAS PRÁCTICAS A TENER EN CUENTA EN EL USO DE COOKIES

 Como buenas prácticas en la utilización de cookies por parte de los sitios web, la AEPD recomienda el uso preferente de cookies de sesión, siempre que sea posible, en vez de utilizar cookies persistentes. En el caso de ser preciso e indispensable el uso de cookies persistentes, se aconseja acotar su duración en el dispositivo de la persona usuaria al mínimo indispensable para alcanzar la finalidad de su uso.

 Igualmente, como buena práctica, en la guía de la AEPD, se recomienda que la validez del consentimiento que una persona usuaria haya otorgado para el uso de una determinada cookie no tenga una duración superior a dos años, debiendo volver a solicitarse el consentimiento explícito de la persona usuaria una vez trascurrido este lapso temporal.

 Como se explicó al inicio de este post, los nuevos criterios sobre el uso de cookies, fijados por la AEPD en su guía, están generando una inquietud en la mayor parte de las organizaciones que disponen de sitio web, por lo que resulta primordial que se comiencen a revisar, lo antes posible, las políticas y avisos de cookies que se están empleando en la actualidad, analizando si se están cumpliendo con los nuevos requisitos de cookies y, de este modo, evitar una posible sanción por incumplimientos al respecto.

 

 Si te ha surgido alguna duda respecto a las cookies, puedes contactar con nuestro departamento especialista a través de nuestra web www.computer-3.com. ¡Que nos se te atraganten las cookies!!

 

 

DotnetKicksDe
DotNetShoutout

Comentarios (3) -

  • Trabajo Direct

    13/10/2020 22:42:28 |

    Entiendo que la segunda capa valdría el típico enlace que lleva a la política de privacidad, es así?

    Valdría esto?

    <a href="www.trabajodirect.com/.../lugo";>trabajo Lugo</a>

  • Respuesta

    03/11/2020 8:37:38 |

    Buenos días, Gracias por tu comentario. Hemos echado un vistazo a tu web. Contactamos contigo por privado. Un saludo

Agregar comentario

Loading