Las cookies: cómo informar al usuario  

Autor: Francisco Moreno (Abogado, Socio fundador)

 

La Agencia Española de Protección de Datos (la “AEPD”), el pasado noviembre de 2019, ha publicado una Guía sobre el uso de las cookies. Una de las principales novedades que trajo la entrada en vigor en 2018 del Reglamento 2016/679, General de Protección de Datos (el “RGPD”) fue la exigencia de un consentimiento explícito como base legitimadora del tratamiento de datos personales. Este consentimiento debe, además, partir de que al titular de los datos personales se la ha facilitado información suficiente acerca del tratamiento.

Determinadas cookies pueden implicar un tratamiento de datos personales. Ya el Considerando 30 del RGPD proclamaba que “[l]as personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia”.

La norma de partida es el artículo 22.2 de la Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico (la “LSSICE”). Este precepto permite la utilización de dispositivos de almacenamiento y recuperación de datos (cookies), siempre y cuando el destinatario titular del equipo terminal haya prestado su consentimiento informado de conformidad con la normativa en materia de protección de datos.

Como es lógico, el consentimiento debe entenderse exigible en la medida en que el uso de cookies implique un tratamiento de datos personales.

Para dar cumplimiento a la obligación de informar, la nueva Guía de la AEPD enumera aquellos aspectos que deben quedar cubiertos, fundamentalmente: (i) definición y función genérica de las cookies; (ii) información sobre el tipo de cookies que se utilizan y su finalidad; (iii) identificación de quién utiliza las cookies; (iv) información sobre cómo aceptar, denegar, revocar el consentimiento o eliminar las cookies; (v) información sobre las transferencias a terceros países; y (vi) periodo de conservación de los datos. Todo ello sin perjuicio de la información no específica requerida por el RGPD.

Si bien la AEPD admite también otras formas, la Guía recomienda ofrecer la información a través de un sistema de doble capa: en una primera capa, se mostraría al usuario la información esencial en relación con el uso de cookies, incluyendo un enlace que dirigiría a una segunda capa de información, capa que comprendería de una forma más extensa y detallada toda la información acerca del uso de cookies.

En fin, hay que resaltar que la información debe mostrarse de forma previa a la prestación del consentimiento. La Guía de la AEPD es tajante al respecto: “[e]sta información se facilitará antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo”.

La Guía de la AEPD también contiene importantes aclaraciones en materia de consentimiento, cuestión esta que, por su extensión, abordaremos en este blog en una ulterior entrada.