Cookies en el Comercio Electrónico: Aspectos Legales y Requisitos para un Aviso Correcto
En el entorno digital actual, las "cookies" son dispositivos de uso generalizado. Si bien muchas veces pasan desapercibidas para el usuario común, su implementación y gestión en un portal web, especialmente en el contexto del comercio electrónico, conllevan importantes implicaciones legales. Comprender qué son, para qué sirven, cómo se regulan y cómo gestionar el consentimiento es crucial para cualquier entidad que opere online y desee cumplir con la normativa vigente, evitando así posibles sanciones.
¿Qué es una Cookie?
Las “cookies” son pequeños archivos que algunas plataformas, como las páginas web, pueden instalar en su ordenador, smartphone, tableta, televisión conectada, o cualquier otro dispositivo al acceder a las mismas. Una cookie es un pequeño archivo de texto, que se almacena en el dispositivo que utiliza para navegar a través de Internet, y que puede guardar información relativa a la frecuencia con la que visita las páginas web, sus preferencias de navegación, la información que más le interesa, nombres de usuario, registrar productos, etc.
En otras palabras, una cookie es un fragmento de información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario. Una cookie no identifica solo a una persona, sino que puede incorporar una combinación de computador-navegador-usuario. Las ‘cookies’ desempeñan un papel muy importante, al mejorar la experiencia del uso de la web.
¿Para qué se usan las Cookies en un Sitio Web?
Las cookies son utilizadas para diferenciar usuarios y para actuar de diferente forma dependiendo de éstos. Un uso de las cookies es identificarse en un sitio web. Los usuarios normalmente se identifican introduciendo sus credenciales en una página de validación; las cookies permiten al servidor saber que el usuario ya está validado o navegando en el sitio web, y por lo tanto se le puede permitir acceder a servicios o realizar operaciones que están restringidas a usuarios no identificados.
Desde un punto de vista técnico, permiten que los sitios web funcionen de forma más ágil y adaptada a las preferencias de los usuarios, como por ejemplo almacenar el idioma, la moneda del país o detectar el dispositivo de acceso. Establecen niveles de protección y seguridad que impiden o dificultan ciberataques contra el sitio web o sus usuarios. Permiten que los gestores de los medios puedan conocer datos estadísticos recopilados en las Cookies para mejorar la calidad y experiencia de sus servicios. Sirven para optimizar la publicidad que mostramos a los usuarios, ofreciendo la que más se ajusta a sus intereses.
LAS COOKIES - ¿QÚE SON Y PARA QUÉ SIRVEN? - #ESimple
Tipos de Cookies
Las cookies se pueden clasificar según varios criterios:
Según quién gestione el equipo o dominio:
- Cookies propias: Son aquellas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.
- Cookies de terceros: Son aquellas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos a través de las cookies. En el caso de que las cookies sean servidas desde un equipo o dominio gestionado por el propio editor, pero la información que se recoja mediante estas sea gestionada por un tercero, no pueden ser consideradas como cookies propias si el tercero las utiliza para sus propias finalidades (por ejemplo, la mejora de los servicios que presta o la prestación de servicios de carácter publicitario a favor de otras entidades).
Según la finalidad para la que se traten los datos:
- Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan. Incluyen aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.
- Cookies de preferencias o personalización: Son aquéllas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio.
- Cookies de análisis o medición: Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.
- Cookies publicitarias: Son aquellas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios.
- Cookies de publicidad comportamental: Son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
Según el vencimiento:
- Cookies de sesión: Son aquellas diseñadas para recabar y almacenar datos mientras el usuario accede a una página web. Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión y desaparecen al terminar la sesión.
- Cookies persistentes: Son aquellas en las que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.
Esta web utiliza tanto ‘cookies’ temporales de sesión como ‘cookies’ permanentes.
En algunos casos, si se desactiva alguna de estas cookies, no podrá recibir correctamente nuestros contenidos y servicios. En otras ocasiones, el sitio web podrá seguir funcionando. En todo caso, la información captada por estas cookies sobre el uso de nuestra web y sobre el éxito de los anuncios mostrados en ella permite mejorar nuestros servicios y obtener ingresos que permiten ofrecer de forma menos onerosa muchos contenidos.
Marco Legal de las Cookies en España
La adecuación legal de un sitio web depende de varios factores. Por un lado están los textos legales que deben implementarse en cualquier página web o blog personal. Pero también están las cookies.
En España, las cookies están reguladas por la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI), complementada por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD). Además, la Agencia Española de Protección de Datos (AEPD) sacó en Julio de 2020 la “Guía Técnica de Cookies”, que es fundamental para cumplir la normativa.
El apartado segundo del artículo 22 de la LSSI, en relación con el RGPD y la LOPDGDD establece que los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la normativa de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
El RGPD, en su considerando 30, menciona estas tecnologías y su impacto en la protección de datos, indicando que las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.
Quedan exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI las cookies utilizadas para alguna de las siguientes finalidades: permitir únicamente la comunicación entre el equipo del usuario y la red o estrictamente prestar un servicio expresamente solicitado por el usuario.
El Consentimiento del Usuario: Clave para el Cumplimiento
La cuestión central de la regulación de cookies radica en el consentimiento. Como la cookie debe instalarse en un dispositivo que no es propiedad del sitio web, sino en un dispositivo personal, es necesario el consentimiento del usuario. Por eso, cada vez que entramos en un sitio web, nos aparece un “cartelito” pidiéndonos el consentimiento sobre el uso de cookies.
¿Es necesario pedir siempre el consentimiento?
No, no siempre. Cuando el sitio web solo use cookies técnicas o necesarias para su funcionamiento, no será necesario pedir el consentimiento y aceptar las cookies, ya que son cookies necesarias. Pero si el sitio web usara otro tipo de cookie no necesaria, sería obligatorio recabar el consentimiento del usuario que navega por el sitio web.
¿Cómo se debe recoger el consentimiento?
Según la normativa de protección de datos, el Responsable debe ser capaz de demostrar que obtuvo el consentimiento expreso del usuario, por lo que los consentimientos tácitos no sirven. Olvidémonos de aquellos “Cartelitos” que nos salen: "Si continúa navegando, entendemos que acepta las cookies. “ACEPTAR”."
El consentimiento debe ser expreso, de tal manera que el usuario acepte o rechace el uso de las cookies. Por ello, a la hora de usar un plugin de cookies en nuestro sitio web, debemos escoger uno que permita al usuario aceptar o rechazar las cookies. Pero, además, la guía técnica de cookies nos indica que el usuario debe poder configurar las cookies, así como a poder revocar su consentimiento.
Consentimiento en capas
La información sobre uso y consentimiento de las cookies debe realizarse en “dos capas”:
- Primera capa: Plugin o banner de cookies
El plugin debe permitir aceptar, rechazar y configurar las cookies (esto puede hacerse con varios formatos). Además, deberá ofrecerse un enlace con información ampliada a la política de cookies. Si el sitio web no usa cookies o no usa cookies “no necesarias”, no será obligatorio poner un banner de cookies: queda a elección del propietario web.
- Segunda Capa: Ampliación de información
En la segunda capa, debemos ofrecer información ampliada de la primera. En función del plugin instalado, esta información podrá ofrecer uno u otro formato. Pero en definitiva, esto es indicar en mayor grado las cookies que usa la web y poder elegir si aceptar o rechazar las cookies no necesarias que queremos mantener y las que no. Recuerda que las cookies necesarias no hay que aceptarlas, ya que sin ellas la página no funcionaría. No sería necesario añadir esta opción.
Si el plugin usado no tuviera una opción para rechazar en el apartado de configuración, se podría elegir rechazar todas las cookies “no necesarias”.
Es crucial que el plugin funcione correctamente y no solo cumpla con la normativa desde la perspectiva visual. Al instalar el plugin, se debe verificar que funcione, asegurándose de que no se carguen cookies no necesarias sin haber prestado el consentimiento.
Aspectos especiales a tener en cuenta:
- Consentimiento de menores de 14 años: Cuando un sitio web que se dirija a menores de 14 años, este deberá hacer esfuerzos razonables para verificar que el consentimiento de datos personales, se hizo por su tutor legal o poseedor de patria potestad y tutela. Además, deberá considerarse el nivel de riesgo asociado a la utilización de las cookies y atender especialmente al principio de minimización de datos.
- Cambios en el uso de las cookies: Si cambia la finalidad de las cookies utilizadas, habrá que volver a solicitar el consentimiento.
Sanciones por Incumplimiento
No cumplir con las obligaciones respecto a las cookies de la LSSI es motivo de sanción, puesto que supone una infracción leve de la ley, sancionada con una multa de hasta 30.000 euros. La Ley de Cookies está siendo infringida sistemáticamente por la mayor parte de las empresas españolas, que corren el riesgo de ser sancionadas en cualquier momento, por importes de hasta 600.000€ en caso de infracciones muy graves.
Ya han empezado a aplicarse sanciones, aunque en su mayoría por infracciones leves, cuya sanción nunca es superior a los 40.000€, normalmente por existir alguna deficiencia en su implementación. El organismo ante el que presentar denuncias cuando se vulnera la LSSI respecto al uso de cookies, es la AEPD (Agencia Española de Protección de Datos).
Cuando se presenta una denuncia por vulneración de la LSSI en el uso de cookies, la AEPD procederá a investigar el sitio y si confirma la vulneración, enviará un apercibimiento al titular para que subsane los problemas, es decir, tome las medidas oportunas para cumplir con la ley.
Algunos de los incumplimientos comunes que llevan a sanciones incluyen:
- Falta de información en el aviso de información de cookies en el sitio web.
- Instalación de cookies de terceros antes de ofrecer la información clara y completa a los usuarios sobre su utilización.
- No ofrecer al usuario la posibilidad de rechazar o aceptar su utilización mediante una acción libre, específica, informada e inequívoca.
- La página web no ofrecía un panel de configuración de cookies granular.
- Falta de información esencial en el banner de cookies (primera capa).
- Impedir la navegación por parte del usuario si no aceptaba el aviso de cookies.
- La página web del demandante no informaba sobre el uso de cookies y carecía de “Política de cookies”, además de no mostrar una pestaña emergente informativa.
- La información sobre el uso de cookies de la página web no era clara y completa (no se informaba de la finalidad de la instalación de cookies analíticas y de publicidad en los terminales de los usuarios).
- Al acceder a la página web, se instalaban de forma automática cookies de terceros sin requerir la aceptación del usuario.
El incumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) en la implementación de las cookies de nuestra web y más en concreto su artículo 5, puede constituir desde una infracción leve, cuya sanción se fija entre los 900€ y los 40.000€, hasta una infracción muy grave en cuyo caso el incumplimiento se castiga con una sanción que puede oscilar entre los 300.001€ y los 600.000€.
| Tipo de Infracción | Normativa Aplicable | Sanción Máxima | Ejemplos de Incumplimiento |
|---|---|---|---|
| Leve | LSSI | 30.000 € | Falta de información clara en aviso de cookies. |
| Leve | LOPD (Art. 5) | 40.000 € | Incorrecto tratamiento de datos personales a través de cookies. |
| Grave | LSSI | Hasta 150.000 € | Instalación de cookies de terceros sin consentimiento previo e informado. |
| Muy Grave | LSSI | Hasta 600.000 € | No ofrecer panel de configuración de cookies granular; impedir navegación si no se aceptan. |
| Muy Grave | LOPD | 600.000 € | Tratamiento de datos personales sin base legal adecuada, afectando a un gran número de interesados. |
Cómo Deshabilitar las Cookies en los Principales Navegadores
El usuario tiene la ley de su parte para elegir si acepta o rechaza el uso de las cookies en su navegación. Puedes desactivar la recepción de cookies a través de la opción de configuración de entrada en la web. Es posible dejar de aceptar las Cookies del navegador, o dejar de aceptar las Cookies de un Servicio en particular.
Puede usted permitir o bloquear las cookies, así como borrar sus datos de navegación (incluidas las cookies) desde el navegador que usted utiliza. Consulte las opciones e instrucciones que ofrece su navegador para ello. Tenga en cuenta que si acepta las cookies de terceros, deberá eliminarlas desde las opciones del navegador.
Los navegadores modernos permiten cambiar la configuración de Cookies. Estos ajustes normalmente se encuentran en las ‘Opciones’ o ‘Preferencias’ del menú de su navegador. Para desactivar, restringir, bloquear o eliminar las cookies, deberá modificar la configuración del navegador que utilice en su terminal, ya sea ordenador, teléfono inteligente o Tablet. La opción de navegación en modo privado mediante la cual, las cookies se instalan en el terminal, pero se elimina de manera automática cuando finaliza la navegación por la página web.
La Importancia de una Asesoría Legal Especializada
En el intento de cumplir la Ley de Cookies, la mayoría de las webs cometen una serie de errores comunes. Un abogado especialista en Internet, LOPD, LSSI y Ley de Cookies es esencial. La Ley a veces es muy clara y explícita, pero en otras ocasiones existe cabida para la interpretación, es decir, varias formas para cumplir con el mismo precepto.
Existen muchas maneras de implantar las medidas para cumplir con la Ley de Cookies. Cabe destacar que la mayoría (96%) de las webs analizadas se quedan cortas en la implementación de las medidas necesarias, incumpliendo de esta manera la Ley de Cookies. Paradójicamente, esas mismas webs implementan ciertas medidas de una manera que, al no ser la más adecuada, acaban dañando seriamente la experiencia de usuario y/o la analítica web, algo que podía haberse evitado.
Es fundamental que la implantación de medidas para cumplir con la Ley de Cookies sea ejecutada con maestría. La mejor implementación la llevará a cabo un equipo bien cohesionado, multidisciplinar, formado por: abogados, marketers online, analistas web y programadores. Si bien puedes contratar por separado los servicios de los distintos especialistas, lo más recomendable es que lo hagas como un servicio integral.
Evita que la implantación de las medidas necesarias para el correcto cumplimiento de la Ley de Cookies dañe innecesariamente la experiencia de usuario de las visitas de tu web y, en definitiva, los resultados de tu inversión online.