Debido a la modificación de la “Ley de Servicios de la Sociedad de la Información” (LSSICE) establecida por el Real Decreto 13/2012, de 30 de marzo, es obligatorio obtener el consentimiento expreso del usuario de todos los sitios web que usan cookies prescindibles, antes de que éste navegue por ellas.

Este documento está actualizado a la guía sobre el uso de las cookies publicada por la AEPD en noviembre de 2019: Guía sobre el uso de las cookies de la AEPD

1. ¿QUÉ SON LAS COOKIES?

Según el art. 22.2 de la LSSI, las cookies y otras tecnologías similares tales como local shared objects, flash cookies, son herramientas empleadas por los servidores Web (emisor) para almacenar y recuperar información de un equipo terminal receptor (persona física o jurídica), así como para ofrecer un correcto funcionamiento del sitio. El considerando 30 del GDPR menciona estas tecnologías y su impacto en la protección de datos.

Mediante el uso de estos dispositivos se permite al servidor Web recordar algunos datos concernientes al usuario, como sus preferencias para la visualización de las páginas de ese servidor, nombre y contraseña, productos que más le interesan, etc.

2. COOKIES QUE PRECISAN CONSENTIMIENTO Y COOKIES EXCEPTUADAS

Quedan exceptuadas de obtener el consentimiento informado, según el art. 22.2 de la LSSI, las cookies de carácter técnico y las necesarias para el funcionamiento del sitio web y las de prestación de servicios expresamente solicitados por el usuario, por lo que no sería necesario informar ni obtener el consentimiento sobre su uso.

Aunque no exista obligación, por razones de transparencia, se recomienda informar al usuario, al menos con carácter genérico, de estas cookies ya sea en la política de cookies o en la propia política de privacidad (ejemplo: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”).

Según el GT29 en su dictamen 4/2012* se interpretan cookies exceptuadas de consentimiento informado las:

  • Cookies de «entrada del usuario»
    Las cookies de sesión y de entrada de usuario se suelen utilizar para rastrear las acciones del usuario al rellenar los formularios en línea en varias páginas, o como cesta de la compra para hacer el seguimiento de los artículos que el usuario ha seleccionado al pulsar un botón.

  • Cookies de autenticación o identificación de usuario (únicamente de sesión)

  • Cookies de seguridad del usuario

    P. ej. Las cookies utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web.

  • Cookies de sesión de reproductor multimedia

  • Cookies de sesión para equilibrar la carga

  • Cookies de personalización de la interfaz de usuario

  • Cookies de complemento (plug-in) para intercambiar contenidos sociales

    *En el citado dictamen se observa que para que una cookie pueda estar exenta del consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello es mucho más probable que se consideren como exceptuadas las cookies de sesión que las persistentes, pero se deberán analizar.

    Comentar a este respecto que una misma cookie puede tener más de una finalidad por lo que existe la posibilidad de que para una finalidad quede exceptuada y para otra necesite el consentimiento informado.

3. ¿QUÉ TIPOS DE COOKIES EXISTEN?

1. Según sea la entidad que gestione el equipo o dominio desde donde se envíen podemos distinguir:

  • Cookies propias: son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.

  • Cookies de terceros: son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.

    o En el caso de que las cookies sean instaladas desde un equipo o dominio gestionado por el propio editor, pero la información que se recoja mediante éstas sea gestionada por un tercero, no pueden ser consideradas como cookies propias.

2. Según el plazo de tiempo que permanecen activadas en el equipo terminal podemos distinguir:

  • Cookies de sesión: son un tipo de cookies diseñadas para recabar y almacenar datos mientras el usuario accede a una página web.
    Con o sin consentimiento, en función de su caducidad o finalidad.
  • Cookies persistentes: son un tipo de cookies en el que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.
    Con consentimiento informado.

3. Según la finalidad para la que se traten los datos obtenidos a través de las cookies, podemos distinguir entre:

  • Cookies técnicas y funcionales: son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, p. ej., controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos de un pedido, realizar el proceso de compra de un pedido, realizar la inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.

    Sin consentimiento, recomendable información.

  • Cookies de personalización: cookies funcionales que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como, p. ej., el idioma, el tipo de navegador, la configuración regional desde donde accede al servicio, etc.
    Sin consentimiento, recomendable información.

  • Cookies publicitarias: cookies funcionales que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios.

    Sin consentimiento, recomendable información.

  • Cookies analíticas: son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

    Con consentimiento informado.

*El GT29 manifiesta que, pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.

Más información sobre cookies analíticas y para deshabilitarlas: Política de privacidad de Google y Exclusión de Google Analytics

  • Cookies de publicidad comportamental: recogen información sobre las preferencias y elecciones personales del usuario (retargeting).

    Son aquéllas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
    Con consentimiento informado.

Más información sobre cookies de publicidad: http://www.lssi.gob.es/Paginas/politica-cookies.aspx

Más información para deshabilitar cookies de publicidad: Alianza Europea de Publicidad Digital Interactiva http://www.youronlinechoices.com/es/preferencias/

La European Interactive Digital Advertising Alliance (Alianza Europea de Publicidad Interactiva), es una asociación sin ánimo de lucro (AiSBL) con sede en Bruselas, inscrita en el Registro de Moniteur Belge con el número BE 0846.790.105. El domicilio social se encuentra en Rue des Deux Eglises 26 | B-1000 Bruselas (Bélgica). Para más información, o si tiene cualquier pregunta acerca de los presentes términos y condiciones, le rogamos que se ponga en contacto con la EDAA por correo electrónico: privacy@edaa.eu

También podrá controlar los anuncios y seguimientos de los mismos en Ghostery: http://www.ghostery.com

  • Cookies sociales: son establecidas por las plataformas de redes sociales en los servicios para permitirle compartir contenido con sus amigos y redes. Las plataformas de medios sociales tienen la capacidad de rastrear su actividad en línea fuera de los Servicios. Esto puede afectar el contenido y los mensajes que ve en otros servicios que visita.

    Con o sin consentimiento, en función de su caducidad o finalidad.

    Más información sobre cookies de sociales:
    Facebook: https://www.facebook.com/policies/cookies/
    Google: http://www.google.es/intl/es/policies/privacy/

  • Cookies de afiliados: permiten hacer un seguimiento de las visitas procedentes de otras webs, con las que el sitio web establece un contrato de afiliación (empresas de afiliación).
    Con consentimiento informado.

  • Cookies de seguridad: almacenan información cifrada para evitar que los datos guardados en ellas sean vulnerables a ataques maliciosos de terceros. Se usan sólo en conexiones HTTPS.
    Con o sin consentimiento, en función de su caducidad o finalidad.

    Más información sobre cookies de seguridad: https://blogthinkbig.com/que-son-las-cookies

  • Cookies zombie: son las que se recrean a sí mismas después de ser borradas. Las cookies zombis se guardan en el dispositivo y no en el navegador, usualmente con la finalidad de que se pueda acceder a ellas sin importar qué navegador se esté usando y amenazando la privacidad y seguridad del usuario.

4. INFORMACIÓN Y COMUNICACIÓN DEL TRATAMIENTO (POLÍTICA DE COOKIES)

La información sobre las cookies facilitada al usuario debe ser suficientemente completa para permitir entender sus finalidades y el uso que se les dará.

Los requisitos para que la política de cookies sea transparente son:

  • La información o la comunicación debe ser concisa, transparente e inteligible, evitando el cansancio informativo.

  • Se ha de utilizar un lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje.

  • La información ha de ser de fácil acceso, proporcionando un enlace claramente visible que dirige directamente a la información.

    La política de cookies debe contener:

  • Definición y función genérica de las cookies.

  • Información sobre el tipo de cookies que se utilizan y su finalidad.

  • Identificación de quién utiliza las cookies (propias y/o de terceros).

  • Información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies.

  • Información obligatoria exigida por el art. 13 GDPR:

    • Identidad y datos de contacto del responsable del tratamiento y del DPO.

    • Legitimación (base jurídica en que se ampara el tratamiento).

    • Fines del tratamiento.

    • Plazo de conservación o criterios que lo determinen.

    • Derechos que asisten al interesado.

    • Destinatarios de los datos (si se prevé o no comunicar o transmitir los datos a terceros).

  • Información específica exigida por el art. 13 GDPR:

    • Cuando exista una transferencia internacional de datos: información sobre la existencia o ausencia de una decisión de adecuación adoptada por la UE o de garantías adecuadas de protección de datos.

    • Cuando exista un mecanismo automatizado de elaboración de perfiles: información significativa sobre la lógica aplicada y las consecuencias previstas para el interesado.

    • Cuando exista un propósito de tratar los datos para otros fines: información sobre estos fines.

    • Cuando exista un requisito legal o contractual para obtener los datos: las consecuencias para el interesado en caso de no facilitarlos.

      Para comunicar la información del tratamiento se debe disponer de un enlace accesible y permanente en todo momento a través de la página web a la Política de cookies. Se considerará que se cumple dicho requisito cuando el sistema de gestión de las cookies (panel de configuración, CMP, etc.) esté integrado en la propia política de cookies o cuando se incluya en esta política un enlace que lleve directamente al sistema de gestión.

5. OBTENCIÓN DEL CONSENTIMIENTO

Cuando la base legítima para la instalación de cookies se base en el consentimiento del usuario (interesado), se puede disponer de un banner, que se mostrará al acceder al sitio web, con la información básica del tratamiento (1a capa basada en el art. 11 LOPDGDD), con la siguiente información:

  • Identidad del responsable del sitio web:
    • no será necesario facilitar esta información cuando su identidad esté en el aviso legal y además pueda desprenderse de forma evidente del propio sitio web (nombre del dominio, marca publicitada, etc.).
  • Fines del tratamiento:
    • en el caso de querer instalar varias cookies con distintos fines, el banner deberá informar de cada uno de dichos fines.
    • en caso de que se elaboren perfiles de los usuarios (cookies de publicidad comportamental), se facilitará información genérica sobre el tipo de datos que se van a recopilar y utilizar.
  • Propiedad de las cookies:
    • información sobre si las cookies son propias o también de terceros, sin que sea necesario identificar a los terceros en esta 1a capa.
  • Modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies:
    • con la advertencia, en su caso, de que, si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.
  • Enlace claramente visible a la 2a capa (Política de cookies) con la información completa del tratamiento:
    • el enlace podrá utilizarse para conducir al usuario al panel de configuración de cookies, siempre que el acceso al panel de configuración sea directo, esto es, que el usuario no tenga que navegar dentro de esta 2a capa para localizarlo.

IMPORTANTE: para legitimar un tratamiento basado en el consentimiento, no se deben usar ni instalar las cookies antes que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo. De la misma forma, debe ser tan fácil retirar el consentimiento como haberlo dado (art.7 GDPR).

PANEL DE CONFIGURACIÓN DE COOKIES

Usted puede aceptar o rechazar el uso de cookies agrupadas por sus finalidades, y si es el caso, en función del tercero que las utiliza:

Cookies analíticas

Las cookies _ga son propiedad de Google Analytics y sirven para mejorar nuestros servicios mediante el análisis de sus hábitos de navegación.

  • Cookie: viewed_cookie_policy
    Duración: 1 año
    Propósito: Guarda información sobre la aceptación de cookies
  • Cookie: snp_snppopup-welcome
    Duración: Sesión
    Propósito: Guarda información sobre popup promocional
  • Cookie: _ga
    Duración: 2 años
    Propósito: Se usa para distinguir a los usuarios (Google)
  • Cookie: _gid
    Duración: 24 horas
    Propósito: Se usa para distinguir a los usuarios (Google)
  • Cookie: _gat
    Duración: 1 minuto
    Propósito: Se usa para limitar el porcentaje de solicitudes (Google)

COOKIES DE TERCEROS

Algunas de nuestras páginas del sitio web muestran contenido de proveedores externos, como YouTube, Facebook, Twitter, Linkedin, etc.

Para acceder a los contenidos de terceros, los usuarios deben aceptar previamente las condiciones que estos aplican (entre las que se incluyen sus políticas de cookies, ajenas a nuestro control).

Si los usuarios optan por no acceder a esos contenidos, estas cookies de terceros no se instalan en sus dispositivos.

Proveedores externos de este sitio web:
YouTube
Facebook
Twitter
LinkedIn

Los servicios de terceros son ajenos al control del editor. Los proveedores pueden modificar en todo momento sus condiciones de servicio, finalidad y utilización de las cookies, etc.

También se puede hacer directamente desde la configuración el dispositivo:

COOKIES DE TERCEROS
Eliminar las cookies del dispositivo

Las cookies que ya están en un dispositivo se pueden eliminar borrando el historial del navegador, con lo que se suprimen las cookies de todos los sitios web visitados.

Sin embargo, también se puede perder parte de la información guardada (por ejemplo, los datos de inicio de sesión o las preferencias de sitio web).

Gestionar las cookies específicas del sitio

Para tener un control más preciso de las cookies específicas de cada sitio, los usuarios pueden ajustar su configuración de privacidad y cookies en el navegador.

Bloquear las cookies

Aunque la mayoría de los navegadores modernos se pueden configurar para evitar que se instalen cookies en los
dispositivos, eso puede obligar al ajuste manual de determinadas preferencias cada vez que se visite un sitio o página.

Además, algunos servicios y características pueden no funcionar correctamente (por ejemplo, los inicios de sesión con perfil).

4. Información sobre plataformas externas de gestión del consentimiento (Consent Management Platform o CMP).

Puede consultarse la lista de CMP registrados en https://advertisingconsent.eu/cmp-list/

Todos los CMP de esta lista han superado las verificaciones de cumplimiento requeridas por el Programa de cumplimiento de CMP de IAB Europe.

Los CMP que no están en esta lista no están registrados con el TCF o no cumplen. Esta lista se actualiza diariamente. Los más utilizados son Quantcast y Cookiebot.

PLATAFORMA DE GESTIÓN DEL CONSENTIMIENTO (CMP)

Los usuarios pueden gestionar/eliminar las cookies desde la plataforma COOKIEBOT: cookiebot.mgr.consensu.org

6. NORMATIVA RELACIONADA

Artículo 22.2 LSSI. Derechos de los destinatarios de servicios.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Considerando 30 GDPR

Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas