Las cookies o "cookies HTTP"son pequeños fragmentos de datos creados por los sitios web que visita y que se guardan como archivos de texto.
Aunque son fundamentales para cualquier sitio web, las cookies plantean algunos problemas de privacidad. Por eso, algunos países han promulgado leyes de advertencia sobre las cookies, que exigen nuevos requisitos y salvaguardias para garantizar la privacidad de los usuarios.
Este artículo tratará sobre el propósito y las leyes que regulan una advertencia de cookies y si su sitio web necesita una.
¿Por qué todos los sitios web advierten sobre las cookies?
Hoy en día, casi todos los sitios web avisan de la existencia de cookies, incluso los minoristas como Amazon. Pero, por supuesto, las cookies existen desde que se creó Internet, así que ¿por qué de repente todos los sitios web le piden que las acepte?
La respuesta es sencilla: el Reglamento General de Protección de Datos de la Unión Europea (rgpd ) promulgó leyes de privacidad de datos mucho más estrictas, regularizando la recopilación, el tratamiento y el intercambio de datos personales.
Una vez que entró en vigor rgpd , empresas y jurisdicciones de todo el mundo se apresuraron a garantizar el cumplimiento de las nuevas leyes de privacidad de datos para todos sus usuarios en todo el planeta. Aunque la rgpd solo es aplicable si una empresa opera en la UE, otros países y estados han promulgado normativas similares.
En Estados Unidos, por ejemplo, la Ley de Privacidad de los Consumidores de California (CCPA), la Ley de Protección de Datos de los Consumidores de Virginia (CDPA) y la Ley de Privacidad de Colorado (CPA) demuestran la tendencia creciente de leyes de privacidad de datos más estrictas en todos los ámbitos.
Junto con rgpd, estos instrumentos legislativos en todo Estados Unidos han obligado a las empresas a cumplir la normativa o, en otras circunstancias, a obedecerla de forma preventiva añadiendo una función de alerta emergente de cookies en sus sitios web.
¿Para qué sirve el aviso de cookies?
El objetivo principal de las advertencias sobre cookies es aumentar la transparencia y, a su vez, generar confianza entre los usuarios y el sitio web.
Tanto si alguien utiliza un sitio web como una aplicación, la protección de la privacidad de los consumidores en línea implica obtener el consentimiento explícito para utilizar sus datos. Por eso se muestra un aviso de cookies en la pantalla: es la forma en que el sitio web o la aplicación informan a los usuarios del uso de cookies.
También se pide a los usuarios que autoricen la activación de estas cookies para que sus datos personales puedan ser procesados y utilizados.
Si una cookie puede identificar a una persona a través de su dispositivo, el sitio web que utiliza dichas cookies necesita el aviso de cookies para facilitar el consentimiento del usuario.
En esencia, el banner de cookies es un acuerdo entre un sitio web o una aplicación y sus visitantes. El objetivo de este contrato es informar a los visitantes sobre cualquier posible rastreo por parte de terceros y fomentar una mayor transparencia en Internet.
¿Necesita su sitio web una advertencia sobre cookies?
Ahora que comprende mejor la razón de ser de las advertencias sobre cookies, puede que se pregunte si su sitio web o aplicación necesita tener una.
Si tiene clientes o usuarios en la UE o su empresa está ubicada o tiene su sede en una jurisdicción con leyes sobre cookies, lo más probable es que su sitio web o aplicación deba incluir una advertencia sobre cookies. Si no lo hace, su sitio web o aplicación podría quedar bloqueado para los clientes o usuarios a los que se apliquen esas leyes, y también podría enfrentarse a sanciones severas.
A continuación se explica la legislación de la UE que regula el uso de cookies, lo que ocurre si no se cumple y lo que significa que alguien decida no dar su consentimiento al uso de cookies.
Resumen de la Ley de advertencia sobre cookies
La rgpd se inició como una directiva de la Unión Europea. En virtud de estas directivas, se han impuesto varios requisitos a la recogida de cookies para el seguimiento de los usuarios.
Para cumplir las directrices fundamentales, una persona, empresa u organización que gestione un sitio web o una aplicación debe:
- Conozca el tipo de cookies -esenciales y no esenciales- que utiliza su sitio web o aplicación y a qué categorías pertenecen.
- Enumere todas las cookies tanto en la política de privacidad como en las políticas de cookies del sitio web o la aplicación.
- Informar a los usuarios sobre las cookies que se utilizan en el sitio web o la aplicación, explicándolo en un lenguaje explícito de advertencia sobre cookies que cumpla la normativa rgpd.
- Active las cookies no esenciales sólo si el usuario autoriza su uso.
- Dar a los usuarios la opción de retirar o modificar sus preferencias de cookies en cualquier momento.
- Mantener registros de consentimiento de las preferencias de cookies de los usuarios.
Exenciones
No todas las cookies entran en el ámbito de aplicación de rgpd - estas cookies se denominan cookies esenciales.
Las cookies esenciales son fundamentales para el buen funcionamiento de un sitio web. Por eso, rgpd hizo una excepción con este tipo de cookies, que son absolutamente necesarias para completar las tareas solicitadas por los usuarios del sitio web.
Pero lo que es una galleta "estrictamente esencial" sigue siendo algo ambiguo.
La directriz establece que los tipos de cookies estrictamente esenciales no impedirán ningún almacenamiento o acceso técnico para transmitir únicamente una comunicación a través de una red. Por eso estas cookies también están exentas: porque son estrictamente necesarias para que un sitio web proporcione información a los usuarios que la solicitan específicamente sobre el contenido que buscan.
Por ejemplo, esta exención se aplica a usted si es propietario de un sitio de comercio electrónico que utiliza una cookie de sesión que permite a los usuarios colocar artículos en su cesta durante el tiempo que permanecen en el sitio web.
También se aplica si usted confía en una cookie de equilibrio de carga para asignar su tráfico de red entre una serie de servidores, porque la función principal de una cookie de este tipo es identificar uno de los servidores.
Mantenimiento de registros
Además, aunque en virtud de la ley de advertencia sobre cookies, no se exige explícitamente que se conserven registros del consentimiento, la mayoría de las veces las cookies recogen y procesan datos del usuario, por lo que entran dentro de los requisitos de conservación de registros de rgpd . No obstante, las advertencias sobre cookies no están obligadas a enumerar todas las cookies utilizadas, sino que sólo deben indicarse su tipo, uso y finalidad.
¿Y si su sitio web también utiliza cookies de terceros? Entonces debe asegurarse de que los usuarios estén informados sobre estos terceros, remitiéndoles a las respectivas políticas de privacidad y cookies.
Consentimiento
En particular, debe obtener el consentimiento del usuario la primera vez que visite su sitio web. No hay obligación de pedir permiso repetidamente después del aviso inicial de cookies. Una vez que el usuario ha dado su autorización, puede asumir con seguridad que consiente el uso continuado de dichas cookies.
Sin embargo, si su sitio web utiliza cookies de terceros, sería mejor obtener un nuevo consentimiento cada vez que deba activarse una nueva cookie de terceros.
No obstante, incluso después de recibir el permiso, se le pedirá que facilite su dirección política de cookies. Esta política debe incluir los tipos de cookies utilizadas y cómo se utilizan.
Por último, la rgpd exige que el consentimiento sea dado voluntariamente por el usuario para ser calificado de válido.
Por lo tanto, cualquier uso de coacción para obtener el consentimiento puede invalidarlo. Así pues, aunque el sitio web pueda restringir contenidos específicos debido a las preferencias de las cookies, el acceso del usuario al sitio web general no debe denegarse únicamente debido a la denegación del consentimiento.
¿Qué ocurre si no se utiliza un aviso de cookies?
La infracción de la ley sobre cookies de rgpdpuede dar lugar a sanciones en forma de multas de hasta 20 millones de euros (unos 20.372.000 dólares), o el 4% del volumen de negocios mundial de las empresas en el ejercicio financiero anterior, según cuál sea el importe más elevado. La sanción máxima se impondrá normalmente si la infracción se considera intencionada y causa un perjuicio significativo al usuario.
Por ejemplo, en 2014, una cadena pública neerlandesa fue multada con 29.000 dólares por incumplimiento de las leyes sobre cookies establecidas por la Autoridad de Consumidores y Mercados de los Países Bajos. La negligencia de la emisora a la hora de implantar un mecanismo de consentimiento conforme dio lugar a la imposición de la multa.
¿Qué pasa si un visitante no acepta sus cookies?
Si un usuario no acepta las cookies, hay que atender su petición. Sin embargo, eso no significa que se les impida el acceso al sitio web.
Si todavía se puede acceder a su sitio web utilizando cookies no esenciales, se debe permitir el acceso a los usuarios en esa medida. Sin embargo, esto podría significar ofrecer contenidos que podrían no ser del todo relevantes o una experiencia menos personalizada.
En el caso de los sitios web que requieren nombres de usuario y contraseñas, los usuarios tendrían que introducir sus credenciales manualmente cada vez que accedan a su sitio web.
Consejos para configurar un aviso de cookies
Aunque las leyes de advertencia sobre cookies son en general bastante similares, tienen distinciones particulares. Por ejemplo, la CCPA y la rgpd tienen requisitos algo diferentes para las advertencias sobre cookies. Por lo tanto, es importante que usted, como propietario de un sitio web o una aplicación, se asegure de que dichas advertencias de cookies se muestren en función de las leyes que su empresa deba cumplir.
He aquí algunas obligaciones fundamentales que son idénticas en casi todas las leyes y que deberían integrarse en su sitio web.
1. Botón de consentimiento voluntario
Debe proporcionar el consentimiento informado del usuario para el uso de cookies. Esto requiere esencialmente que los usuarios tengan la opción de rechazar el uso de sus datos. Sin embargo, esto no significa que se pueda restringir totalmente el acceso de los usuarios al sitio web rechazando el uso de cookies.
Además, la opción de exclusión debe ser tan cómoda y fácil de usar como la de inclusión.
2. Cajas que no se han comprobado previamente
Para cumplir adecuadamente con la rgpd y otras leyes de advertencia de cookies, todas las casillas de verificación de la advertencia de cookies deben estar en blanco. Si están previamente marcadas, estará infringiendo la rgpd.
El fundamento es que el consentimiento informado del usuario debe obtenerse libremente y sin utilizar métodos coercitivos o engañosos. El Tribunal Supremo Federal reforzó esta posición en la sentencia Planet49.
3. Uso selectivo de cookies
Como parte de la obtención del consentimiento informado del usuario, el visitante de un sitio web o el usuario de una aplicación también debe poder seleccionar el tipo de cookies que autoriza y las que no. Además, debe informársele de los distintos tipos de cookies que utiliza su sitio web o aplicación y darle la opción de elegir las que desea activar.
4. Evitar el consentimiento implícito
El hecho de que un usuario ignore su advertencia sobre cookies -o simplemente haga clic en el botón "Aceptar"- y continúe navegando no cuenta como consentimiento para el uso de cookies. Las advertencias sobre cookies que solo tienen fines informativos y no permiten modificar su uso incumplen los requisitos de rgpd . Para que una advertencia sobre cookies sea conforme, el mero hecho de mostrar un botón de "Aceptar" va en contra del propósito de estas advertencias: si no se da al usuario ninguna opción para seleccionar, no puede considerarse consentimiento voluntario.
5. Enlace a la política de privacidad
Además de mostrar la advertencia de cookies en el sitio web, también es importante proporcionar una política de privacidad de fácil acceso en su sitio web o aplicación. Para cumplir la normativa, la advertencia sobre cookies debe incluir un enlace a la política de privacidad.
Conclusión
Ahora hay leyes más estrictas que regulan el uso de cookies. Las leyes de privacidad de datos en todo el mundo se han reforzado cada vez más. Por eso, aunque su empresa o su sitio web no estén ubicados o no tengan su sede en la Unión Europea, es posible que algunos de sus usuarios residan allí.
Por eso su empresa debe cumplir las nuevas leyes de advertencia sobre cookies y las normativas relativas a su uso.
Más sobre el autor
Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido responsable de protección de datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implantar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, LPRPDE, Directiva Sobre Privacidad Electrónica, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
