Enésima Guía de Cookies

A raíz de la reciente sanción de la Agencia de Protección de Datos por incumplimiento de las previsiones en materia de cookies de la LSSI y de la falta de claridad en cuanto a cómo implementarlas, creo que resulta conveniente hacer una pequeña guía (otra más).

Paso 1: Localizar qué cookies se recogen por medio del sitio web

Para ello recomiendo utilizar algún complemento de navegador que identifique las cookies, como por ejemplo Advanced Cookie Manager (hay varios). Se instala el complemento, se reinicia el navegador para que se active, y se accede al mismo (Herramientas > Cookie Manager, o bien pulsando el icono que aparece a la derecha del botón de “Home” junto a la barra de navegación).

Se accede a la pestaña “Monitor de cookies” y se borran las cookies que aparezcan.

A continuación se accede al sitio web e inmediatamente van apareciendo las cookies que se activan y sus cambios. Es conveniente navegar por varias páginas del site y probar varias acciones, en especial registro/inicio de sesión, buscador, envío de comentarios en blog, envío de datos a través de formularios de contacto, suscripción a boletines, cambio de idioma o de formato, compartir por medio de redes sociales o servicios de Facebook, Twitter, Tuenti, LinkedIn, Digg, ShareThis o similares.

Dichas acciones dependerán de las funcionalidades y elementos de la web, pero en todo caso irán apareciendo los nombres de las cookies asociadas y su dominio. A través de un buscador se puede obtener más información sobre las finalidades de las mismas, así como la empresa o proveedor que está detrás de dichas cookies.

Paso 2: Crear la primera capa

La AEPD propone que el deber de información y la solicitud de consentimiento para el uso de cookies se haga por medio de capas, lo que viene a ser proporcionar en una primera instancia unos datos mínimos y determinar la autorización para su uso, y dejar para otra página interna (la segunda capa) el meollo. Como no conviene sobrecargar la página principal con demasiado rollo legal, aplicaremos este sistema.

La primera capa, de acuerdo con el criterio de la AEPD en la resolución indicada, debe incluir:

a) La advertencia de que el sitio web utiliza cookies, indicando si son propias (las de sesión, habitualmente) o de terceros (en general, las restantes).

b) Los fines para los que se usan cookies. Por ejemplo, para gestionar sesiones de usuarios registrados, para análisis de visitas de la web, para difundir o compartir contenidos a través de redes sociales,…

c) La solicitud o medio por el que se presta el consentimiento para el uso de las cookies. Hay que matizar que el consentimiento no se requiere, de acuerdo con la LOPD, cuando el tratamiento de los datos resulte necesario para la prestación de un servicio, lo cual excluiría solicitarlo para las cookies de sesión o de seguridad en pasarelas de pago, compartir en redes sociales, u otras, pero por simplificar y no entrar en disquisiciones sobre hasta qué punto una cookie es necesaria o capricho del servicio, se solicita el consentimiento para todas. También podríamos cuestionarnos la validez y eficacia de un consentimiento prestado a quien no va a recoger ni tratar los datos. Esto es, ¿para qué demonios tengo que pedir un consentimiento yo respecto a cookies y otros datos que por ejemplo usa y recopila Google, directamente, y que luego me devuelve disociados? Pues es lo que hay, oigan.

Volviendo a lo práctico, el consentimiento debe darse posteriormente a haberse facilitado la información anterior, lo cual exige ajustes. Esto es, al entrar en una web algunas cookies se activan de forma inmediata (por ejemplo, las de Google Analytics), antes de que el ojo vea y el cerebro procese la información incluida en la primera capa. Por tanto, o se modifica la programación y se deja un tiempo prudencial (¿5-10 segundos?), o no se cumple con la ley.

Sobre la forma del consentimiento, fuera de lo anterior no hay más requisitos (aunque hay una remisión a la LOPD), por lo que es válido establecer que se entiende prestado por cualquier acción (por ejemplo, continuar con la navegación). La AEPD considera, acertadamente, que “no hacer nada” no implica un consentimiento, lo cual no excluye que pueda prestarse de forma implícita, deduciéndose de actos del usuario y siempre lógicamente que haya sido informado.

d) Un enlace a la segunda capa (página interna) donde se amplíe la información sobre cookies. Puede remitirse al Aviso Legal y/o a la Política de Privacidad, y que estas páginas incluyan dicha información.

En definitiva se trataría de incluir un marco por medio de un script o bien otra aplicación similar (yo utilizo Cookie Control, en concreto su plugin para WordPress) y añadir el texto que podría ser:

“Este sitio web utiliza cookies propias o de terceros para [añadir finalidades]. La continuidad en la navegación por estas páginas implicará el consentimiento del usuario para su recogida y tratamiento conforme a lo anterior. Puede obtener más información sobre las cookies en nuestro Aviso Legal y Política de Privacidad [enlace a lo anterior].”

Paso 3: Redactar la segunda capa

La segunda capa puede ser un espacio dentro del Aviso Legal, Política de Privacidad, o bien una página distinta (Política de Cookies).

La AEPD indica que hay que incluir aquí una definición y función de las cookies, así como el tipo de cookies utilizadas, su finalidad, la forma de descativarlas o eliminarlas, la posibilidad de revocar el consentimiento para las cookies y la identificación de quiénes utilizan las cookies.

Lo anterior es una recomendación que puede simplificarse, pues hoy en día el usuario medio entiendo ya sabe qué son las cookies y para qué se utilizan, pero en todo caso habría que incluir:

  • Las finalidades anteriores nuevamente, así como que la navegación implica el consentimiento.
  • Una relación de las cookies utilizadas, incluyendo su descripción y fines concretos. En el monitor de cookies de la extensión Advanced Cookie Manager aparecen los nombres y puede buscarse por Internet más información sobre su uso y funciones.
  • La indicación de cómo eliminar o desactivar las cookies por medio de los parámetros de los navegadores, señalando que ello implicará la revocación del consentimiento para su uso.
  • Una advertencia respecto a los problemas o limitaciones con los que el usuario se puede encontrar al eliminar determinadas cookies (en especial, las que están exceptuadas de consentimiento por ser necesarias para prestar un servicio determinado).

La revocación del consentimiento, por remisión a la LOPD, debe hacerse de forma sencilla. En mi opinión, eliminar o bloquear las cookies a través del navegador es sencillo y como digo supone esa revocación del consentimiento, pero más fácil es usar algún otro sistema como Cookie Control que propongo, que guarda las preferencias del usuario. Recuerden además que estos sistemas utilizan a su vez una cookie.

4 Comentarios | Responder | Suscríbete

Deja un comentario

Tu email nunca será mostrado o compartido. No olvides rellenar los campos obligatorios.

Obligatorio
Obligatorio

A efectos del cumplimiento con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se le informa de que los datos facilitados por Ud., incluyendo la dirección IP del equipo desde el que accede, serán incluidos en un fichero propiedad de Javier Prenafeta Rodríguez, con D.N.I. núm. 29.109.617N, con domicilio en Urb. Parque Roma F9, 9º A, 50010 Zaragoza, y utilizados únicamente para la gestión de los comentarios de esta bitácora y el seguimiento de las estadísticas de acceso. Mediante el envío de la información anterior, presta Ud. consentimiento al tratamiento descrito, así como a la publicación en este sitio web de los datos requeridos en el formulario.

Sus datos serán tratados de forma confidencial, aplicándose las medidas técnicas u organizativas establecidas en la legislación vigente para evitar su acceso, manipulación o eliminación indebidas, sin que, salvo consentimiento expreso por su parte, vayan a ser cedidos a otras entidades o terceras personas fuera de los casos legalmente permitidos. No obstante, Ud. puede, en cualquier momento, ejercer sus derechos de acceso, cancelación o rectificación en relación con dichos datos, solicitándolo a la dirección jp@jprenafeta.com o a través de la página de contacto.

1 Trackback

  • […] (que en realidad no es una ley en si, sino una parte de la LSSI). Tanto que tenemos hasta una enésima guía de cookies que te recomiendo leer si lo que estás buscando es unas nociones legales sobre este tema, pues es […]