La Directiva sobre la privacidad y las comunicaciones electrónicas, también conocida como la ley de cookies de la Unión Europea (UE), es un texto legislativo sobre privacidad que obliga a los sitios web a obtener el consentimiento de los visitantes antes de recuperar o almacenar su información personal.
Su propósito es proteger los derechos de privacidad dando a los consumidores el derecho a decir "no" si una empresa quiere recoger, almacenar y utilizar su información.
Siga leyendo para obtener más información sobre la ley de cookies y cómo puede garantizar el correcto cumplimiento de los requisitos sobre cookies. En primer lugar, repasaremos la ley de cookies de la UE (y quién debe cumplirla) y, a continuación, trataremos las leyes de cookies similares de Estados Unidos y Reino Unido.
¿Qué es la Ley de Cookies de la UE?
La ley europea de cookies o ley de cookies de la UE es un apodo de la Directiva sobre privacidad y comunicaciones electrónicas de la UE: un texto legislativo que obliga a los sitios web a obtener el consentimiento de los usuarios antes de almacenar, utilizar o recuperar su información personal.
La Directiva sobre la privacidad y las comunicaciones electrónicas fue la primera ley que obligó a los sitios web a obtener el consentimiento previo de los usuarios de la UE antes de activar rastreadores y cookies para procesar sus datos. Junto con el Reglamento General de Protección de Datos (rgpd), la Directiva sobre privacidad electrónica constituye uno de los regímenes de privacidad más estrictos del mundo.
¿Cuáles son los requisitos de la Ley de Cookies de la UE?
La ley de cookies de la UE le obliga a:
- Abstenerse de colocar rastreadores y cookies en los navegadores de los usuarios hasta que éstos hayan dado su consentimiento para ello.
- Pida a los usuarios su consentimiento para todos los rastreadores y cookies de su sitio web
- Proporcione a los usuarios información detallada sobre todos los rastreadores y cookies de su sitio web.
- Ofrecer a los usuarios la posibilidad de retirar el consentimiento u optar por no darlo con la misma facilidad con la que pueden optar por darlo.
La ley de cookies solo le obliga a hacerlo en el caso de las cookies no esenciales, como las cookies publicitarias y las cookies de redes sociales. No es necesario seguir estas normas para las cookies esenciales, que son los tipos de cookies de sitios web que son o:
- Necesarios para prestar un servicio en línea, como su sitio web o un servicio en su sitio web
- Utilizados únicamente para facilitar o llevar a cabo la transmisión de comunicaciones a través de una red
También debe tener en cuenta que la ley de cookies no es sólo para las cookies. A pesar de su apodo, la Directiva sobre la privacidad y las comunicaciones electrónicas pretende aplicarse a todo tipo de tecnología que pueda utilizarse para almacenar y procesar información de los usuarios. Por eso no nombra explícitamente ninguna tecnología: quiere abarcarlas todas, incluidas las que aún no se han creado.
Sólo se la conoce como ley de cookies de la UE porque las cookies son actualmente la tecnología más común para almacenar información del usuario en dispositivos personales.
¿Quién debe cumplir la Ley de Cookies?
La ley de cookies de la UE se aplica a todos los sitios web con visitantes de la UE, independientemente de la ubicación de su empresa. Esto significa que debe cumplir la ley de cookies de la UE si:
- Su sitio web utiliza cookies
- Trata y almacena datos de ciudadanos de la UE
Además, para cubrir sus bases, también debe seguir las normas sobre cookies de la UE incluso si no tiene visitantes de la UE, ya que puede recibir tráfico de la UE en el futuro.
Cómo cumplir la Ley de Cookies
Hay tres formas de cumplir la ley de cookies de la UE:
Utilizar una solución gestionada
Este es el método más sencillo porque hay muchas herramientas y aplicaciones que puede utilizar para cumplir automáticamente la ley de cookies de la UE.
Por ejemplo, nuestro gestorconsentimiento de cookies le ayudará:
- Garantizar que los usuarios sólo tengan en sus navegadores las cookies que hayan consentido.
- Detectar, clasificar y bloquear la ejecución de secuencias de comandos en función de la configuración exclusiva de cookies de los usuarios.
- Cree un sitio política de cookies adaptado a su empresa
- Recopilar el consentimiento del usuario mediante banners de cookies totalmente personalizados en el idioma en función de la ubicación de cada usuario.
Además de ayudarle a cumplir con la ley de cookies de la UE, nuestra herramienta también puede ayudarle a cumplir con otras leyes de privacidad de datos como la rgpd y la CCPA.
Opción manual
Si no desea utilizar una solución gestionada, puede optar por realizar todas las funciones anteriores de nuestro gestor de cookies manualmente. Sin embargo, esta ruta es un método que requiere mucho más tiempo, y sólo deberías intentarlo si estás bien versado en las leyes de privacidad de datos y tienes las capacidades técnicas. Puede utilizar nuestro sitio web escáner de cookies para aligerar al menos parte de su carga.
No utilice cookies en absoluto
Por último, puede optar por no utilizar cookies en absoluto. Sin embargo, si su sitio utiliza algo más que HTML estático, puede resultar complicado no utilizar cookies. Puede que tenga que sacrificar ciertas funciones como los comentarios o los vídeos incrustados.
Sanciones por incumplimiento de la Ley de Cookies
La ley de cookies de la UE deja las sanciones en manos de los gobiernos locales. Por tanto, las sanciones por incumplimiento de la ley de cookies variarán en función de su ubicación.
Por lo general, la mayoría de los reguladores locales toman las siguientes medidas si usted incumple la ley de cookies:
Solicitud de información
Su regulador local le pedirá que facilite información adicional, por ejemplo
- Enlaces a su sección de información sobre cookies en sus Términos y Condiciones y política de cookies
- Tipos de cookies que utiliza su sitio web
- Cualquier otra cosa que pueda ayudarles a determinar si cumple la normativa.
Solicitud de cambios
Si su regulador determina que su sitio web no es conforme, probablemente le pedirá que lo haga conforme. Para ello, utilice uno de los métodos descritos anteriormente.
Ejecución
Si no cumple la legislación de la UE sobre cookies tras la solicitud de cambios, su regulador local le indicará las medidas específicas que debe adoptar en un plazo determinado. Si no las cumple, podría enfrentarse a cargos penales y multas.
Las multas varían según la jurisdicción y la gravedad de las infracciones, pero pueden ascender a cientos de millones. Por ejemplo, Francia multó recientemente a Google con la friolera de 169 millones de dólares y a Facebook con 67 millones de dólares por exigir demasiados clics a los usuarios para optar por no recibir cookies.
¿Existe una ley de cookies en EE.UU.?
No, no existe una ley sobre cookies en Estados Unidos. Sin embargo, algunos estados tienen leyes que regulan el uso de cookies en lo que respecta a sus residentes, como la Ley de Privacidad del Consumidor de California(CCPA).
Cumpla gratuitamente la normativa sobre cookies de EE.UU. Termly
Paso 1: Introduzca la URL de su sitio web en el siguiente escáner
Paso 2: Escanearemos su sitio web y clasificaremos la mayoría de sus cookies
Paso 3: Generaremos su política de cookies y personalizable banner de cookies
La CCPA o "Ley de Cookies de California
La Ley de Privacidad del Consumidor de California (CCPA) es una de las leyes más estrictas que regulan las cookies de los sitios web en Estados Unidos. Al igual que la ley de cookies de la UE, regula cómo se utilizan las cookies para acceder y recopilar información personal de los consumidores.
El objetivo de la CCPA es otorgar a los consumidores californianos los siguientes derechos:
- Saber qué información recogen las empresas sobre ellos
- Saber si las empresas venden o divulgan sus datos y a quién.
- Excluirse o decir "no" a la venta de su información personal (o aceptarla si tiene entre 13 y 16 años).
- A igualdad de precio y servicio, aunque decidan ejercer su derecho a la intimidad
- Para eliminar y acceder a la información personal
Como tal, debe utilizar y regular las cookies de una determinada manera para cumplir con la CCPA.
En concreto, la CCPA le obliga explícitamente a reconocer:
- Si los datos que se obtienen de las cookies se venden o comparten con terceros.
- Los consumidores tienen derecho a rechazar las cookies no esenciales.
También debe crear una dirección política de cookies fácil de leer que los usuarios puedan utilizar siempre que opten por aceptar o rechazar las cookies.
Además, debe responder a las solicitudes de los clientes sobre lo siguiente en un plazo de 45 días previa "solicitud verificable":
- Qué información recopila a través de cookies y rastreadores
- Qué partes de su sitio utilizan cookies
- Si vende la información recopilada a través de cookies y con qué fin
- Si hay terceros destinatarios de la información recopilada.
Al igual que la ley de cookies de la UE, la CCPA se aplica a todas las cookies excepto a las esenciales.
¿A quién se aplica la CCPA?
Según el artículo 9 de la CCPA, toda "empresa" que recopile datos de consumidores californianos está sujeta al cumplimiento de la CCPA. La CCPA define "empresa" como cualquier entidad con ánimo de lucro que recopile datos de consumidores californianos y cumpla al menos una de las siguientes condiciones:
- Obtiene el 50% o más de sus ingresos anuales de la venta de información personal de los consumidores californianos.
- Sus ingresos brutos anuales superan los 25 millones de dólares.
- Anualmente compra, vende, recibe o comparte la información personal de 50.000 o más consumidores, dispositivos u hogares californianos con fines comerciales.
Preparación para la Ley de Derechos de Privacidad de California (CPRA)
La CCPA será sustituida por la Ley de Derechos de Privacidad de California (CPRA) el 1 de enero de 2023. Esta nueva ley amplía los tipos de datos protegidos y otorga nuevos derechos a los consumidores, entre ellos:
- El derecho de rectificación, que permite a los consumidores corregir la información inexacta que las empresas hayan recabado de ellos.
- Los consumidores también tendrán derecho de restricción, que les da la posibilidad de limitar el uso y divulgación de información personal sensible.
Puesto que es más estricta que la CCPA y entrará en vigor muy pronto, debe empezar a prepararse para cumplir la CPRA.
Por ejemplo, debería empezar a cambiar "vender información" por "compartir y vender información" en sus notificaciones de cookies, ya que la CPRA cubre el hecho de compartir y vender información.
Posible Ley de Galletas de Wisconsin
Wisconsin no cuenta actualmente con una ley de galletas ni con una ley consentimiento de cookies , pero es posible que pronto la tenga.
El 10 de febrero de 2020, Wisconsin introdujo un trío de leyes de privacidad siguiendo el modelo de rgpd. Estos nuevos proyectos de ley - Assembly Bills (AB) 870, 871 y 872 - constituirán la Ley de Privacidad de Datos de Wisconsin.
La ley de Wisconsin sobre privacidad de datos y cookies impondrá importantes obligaciones a las empresas. El Fiscal General de Wisconsin hará cumplir esta nueva ley, y podría dar lugar a sanciones de hasta el 4% de los ingresos anuales totales de la entidad infractora o 20.000.000 de dólares, la cantidad que sea mayor.
Al igual que la CCPA, esta ley se aplicará a cualquier empresa que maneje información personal de personas residentes en Wisconsin. Sin embargo, a diferencia de la CCPA, se aplica a una gama mucho más amplia de particulares y empresas.
Por ejemplo, se aplica a todos los "responsables del tratamiento", definidos como las personas que determinan los medios y fines del tratamiento de datos personales solas o conjuntamente con otras.
Esta posible ley de cookies de Wisconsin tiene una definición amplia de "datos personales", que define como cualquier información relativa a un consumidor que permita identificarlo indirecta o directamente, incluso mediante referencia a identificadores como la ubicación, identificadores en línea y datos de localización.
Esto significa que las cookies y los rastreadores están incluidos en su definición.
También tiene requisitos estrictos similares a los de rgpd que no tiene ninguna otra ley estadounidense sobre cookies. Por ejemplo, según la AB 872, todo responsable del tratamiento debe cumplir los siguientes criterios antes de utilizar cookies y rastreadores para procesar los datos personales de los consumidores:
- Realizar el tratamiento de datos con una finalidad que el consumidor consienta mediante una acción afirmativa explícita o una declaración.
- Obtener un consentimiento libre (es decir, no coaccionado), inequívoco e informado.
- Permitir al consumidor retirar su consentimiento con la misma facilidad con que puede darlo
- Distinguir el consentimiento para el tratamiento de datos personales de otras cuestiones
- Poder demostrar que el consumidor dio su consentimiento (por ejemplo, a través de un rastro electrónico como el clickwrap).
- Deje que el consumidor utilice su servicio sin dar su consentimiento al tratamiento de datos
¿Existe una ley de cookies en el Reino Unido?
Sí, existe una ley de cookies en Reino Unido: la Ley de Protección de Datos de 2018.
Se trata de la versión británica de las directivas europeas rgpd y ePrivacy, y afecta a la forma de obtener, almacenar y utilizar el consentimiento para el uso de cookies de los visitantes del Reino Unido y de la UE.
La Ley de Protección de Datos de 2018 tiene cuatro secciones, cada una de las cuales crea un régimen de protección de datos diferente:
- La primera parte se basa en la rgpd. Adapta la rgpd a la legislación nacional del Reino Unido.
- La segunda parte amplía la rgpd y la modifica para adaptarla a la legislación británica.
- La tercera parte crea un nuevo régimen de privacidad para las fuerzas del orden.
- La cuarta parte crea un nuevo régimen para los servicios de inteligencia del Reino Unido.
La mayoría de las disposiciones de la Ley de Protección de Datos sobre cookies son similares a las de rgpd y la ley de cookies de la UE. Al igual que en rgpd y la ley de cookies de la UE, la Ley de Protección de Datos del Reino Unido exige obtener el consentimiento explícito de los consumidores antes de procesar sus datos personales.
Los consumidores también tienen derecho a corregir la información inexacta sobre ellos.
Preguntas frecuentes sobre la Ley de Cookies
¿Se aplica la legislación de la UE sobre cookies a los sitios web de EE.UU.?
La normativa sobre cookies de otros países también puede aplicarse a los sitios web estadounidenses. Por ejemplo, el Reglamento General de Protección de Datos (rgpd) se aplica a todas las empresas que comercializan con consumidores del EEE. Los sitios web estadounidenses que tienen visitantes de fuera de EE.UU. pueden necesitar evaluar dónde se encuentran sus usuarios para entender qué leyes sobre cookies deben seguir.
¿Existe una ley de cookies en Canadá?
No, Canadá no tiene una ley específica sobre cookies. Sin embargo, regulan el uso de cookies mediante leyes anti-spam y de privacidad como la LPRPDE.
Pruebe gratis Termly
Termly es una solución fácil de usar para las cookies gestión del consentimiento y el cumplimiento de la privacidad de los datos.
Sabemos que mantenerse al día con las complejas leyes de privacidad de datos puede ser confuso y llevar mucho tiempo; por eso hacemos el trabajo duro por usted.
Pruebe GRATIS nuestras soluciones para cookies gestión del consentimiento y nuestros generadores de políticas legales.
Resumen
La ley de cookies de la UE, también conocida como Directiva sobre privacidad y comunicaciones electrónicas, es una normativa sobre privacidad que obliga a los sitios web a obtener el consentimiento de los visitantes antes de colocar cookies en sus dispositivos.
Junto con la rgpd, la ley de cookies de la UE impone requisitos estrictos a los sitios que manejan información personal de ciudadanos de la UE. El incumplimiento de la ley de cookies de la UE puede acarrear multas y cargos penales.
Más sobre el autor
Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido responsable de protección de datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implantar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, LPRPDE, Directiva Sobre Privacidad Electrónica, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
