Todo lo que necesitas saber sobre la Ley de cookies y como cumplirla

0


Si quieres saber como cumplir la famosa ley de cookies en tu empresa o pyme, o si eres un usuario curioso por conocer tus derechos, te beneficiarás de esta completa guía sobre el uso de cookies.

Bienvenidos a lo que pretendemos sea una ilustrativa guía que os ayude a saber conduciros por este enrevesado mundo de las cookies y el cumplimiento de la regulación. Lo primero que haremos será plantear una paradoja: No existe una ley de cookies (no la encontraréis) En su lugar, lo que hizo el gobierno español para adaptarse a las normativas europeas al respecto fué reformar el pasado año, la ya conocida LSSI o Ley de los Servicios de la Sociedad de la Información. Dicho esto, empezaremos a atraer vuestra atención con lo que más os interesa.

Multas por incumplimiento de la normativa LSSI

Sanción Importe
INFRACCIONES LEVES (art. 38.4.g y 39.1.c)
Multa de hasta 30000 €
INFRACCIONES GRAVES (art. 38.3.i y 39.b) Multa de entre 30001 € y 150000 €
INFRACCIONES MUY GRAVES Multa de 150.001 hasta 600.000 euros. Si hay reiteración dos o más infracciones de cª muy grave (Plazo 3 años), Prohibición de actuación en España.

Como se puede observar este no es un tema para “mirar a otro lado”. La simple calificación de Infracción Leve ya podría suponer un duro varapalo a cualquier negocio pequeño, mientras una infracción Grave supondría con toda seguridad su cierre forzoso.

Estadística recogida sobre el cumplimiento de la normativa

Existen pocos estudios al respecto y menos en nuestro idioma, pero podemos extrapolar los datos recogidos algunos meses atrás por firmas reconocidas como KPMG.

En su estudio de 50 páginas web de las más importantes en Reino Unido, se concluye que el año pasado 3 de cada 4 o lo que es lo mismo: el 75% de las páginas no respetaban los principios de la ley.  Otros estudios con muestras más amplias (más de 200 webs importantes) hablan de incumplimiento en un 95% de los casos. En algunos estudios se han estimado las pérdidas económicas en Reino Unido -caso de producirse una sanción a todos estos sitios- en 10 Billones de libras. (Fuentes: IAPP – KPMG)

En España, a pesar de no contar con datos oficiales de peso, sabemos que la situación es igual o peor a día de hoy. 

¿Qué dice el Ministerio?

Es increíble la cantidad de empresas que, a día de hoy, bien no aplican correctamente la norma por desconocimiento o bien porque no respetan alguno de sus principios. Antes de entrar de lleno en materia os mostraremos como ejemplo la página web del Ministerio de Industria (nos da una idea de partida) y las aclaraciones que ofrecen en la misma. 

Aspecto del “banner” superior en donde se nos informa de nuestros derechos como consumidores respecto de las cookies alojadas en su web:

Información sobre el uso de cookies

Breve explicación de la política de uso de cookies ofrecida por el ministerio

Ley 34/2002 del 11 de Julio en la que se circunscribe el uso de las cookies para empresas o entes con ánimo de lucro o que emplean cookies como parte de su actividad económica.

Guía de buenas prácticas de la Agencia Española de Protección de Datos.

Las cookies paso a paso

¿Qué son las cookies?

Comprendiendo qué son las cookies podremos cumplir la legislaciónLas cookies son pequeños archivos usados a lo largo y ancho de la red con múltiples propósitos. Siempre se enmarcan en el contexto de un sitio web y la forma en que este se relaciona con sus visitantes. Los propósitos de una cookie van desde recordar quienes somos o qué páginas visitamos hasta ofrecer publicidad personalizada al usuario, entre muchos otros. 

A pesar de ser archivos minúsculos que contienen tan solo unas líneas de texto, no debemos subestimar su carencia. Si están desactivadas para un determinado sitio web podría ocurrir que, o bien algunas herramientas o áreas del sitio no estén disponibles o, incluso, que el sitio web no esté accesible en absoluto. Podemos entender las cookies como un bien necesario (bien usado) pero que podría ser lo contrario en las manos equivocadas.

Ejemplo de uso de cookies

 – Imaginemos que tenemos intención de comprar un bien o servicio en nuestra tienda favorita.

 – Nos decidimos por algo y presionamos el botón “Añadir a la cesta”.

 – Con las cookies habilitadas, el sitio web es capaz de añadir el producto a nuestra cesta, que es guardada en una cookie local de nuestro ordenador. Esto nos permite pasar por caja y llevarnos el producto.

 – Con las cookies deshabilitadas, el sitio web no es capaz de añadir el producto a nuestra cesta, ya que necesita previamente acceder a la cookie de nuestro ordenador y hemos decidido negar el acceso. No podremos comprar ningún artículo en esa tienda.

Principales usos de las cookies

Más del 92% de los sitios web usan cookies:

 – Ayudan a los motores de búsqueda a recordar que queremos los resultados de búsqueda en un idioma determinado (Español u otro)

 – Ayudan a personalizar nuestra sesión y experiencia online en cada página web

 – Cuando compramos online (como hemos mencionado) ayudan a recordar los artículos de nuestro interés

 – En sitios web de climatología, ayudan a recordar nuestras ciudades preferidas

 – Las redes de anunciantes se valen de ellas para mostrarnos anuncios relevantes según nuestros criterios de búsqueda o actividades online

Tipos de cookies

Las cookies se pueden dividir en varios grupos atendiendo a distintos criterios: cuanto tiempo permanecen, quien las emite u otros factores como podría ser su cifrado.

Cuanto tiempo permanecen

Cookies de Sesión o Cookies técnicas

Una cookie de sesión puede ser creada por un sitio web en cualquier momento, pero no tiene una fecha expiración determinada. Su desaparición va ligada al cierre de la comunicación por parte del usuario, que ocurrirá cuando cierre el navegador.

Cuando se cierra el navegador, la cookie de sesión será eliminada de la carpeta de cookies y no será recuperable. Estas cookies son útiles para seguir nuestros pasos cuando estamos en un sitio web, pero garantizan que la web no sabrá nada sobre nosotros una vez finalizada la visita. Este tipo de cookies son la mayor parte de las usadas en Internet y su uso no conlleva responsabilidad informativa puesto que son necesarias para el correcto funcionamiento del sitio.

Cookies persistentes o Cookies de Rastreo

Una cookie persistente (o de rastreo) puede ser creada por una web en cualquier momento, pero poseen una fecha de expiración específica.

Una cookie persistente únicamente es eliminada del sistema cuando ha alcanzado esa fecha límite, que podría ser años después.

Este tipo de cookie permite a la página web recordar cosas sobre nosotros a largo plazo. Probablemente habremos comprobado este fenómeno cuando hemos vuelto a sitios como Amazon o Ebay, que aún recuerdan nuestro nombre de pila, incluso sin estar “logueados”. Esta información fué escrita en una cookies antes de abandonar nuestra web (en la última visita) y vuelve a estar disponible a nuestro regreso.

Quién las ha creado

Cookies de primeras partes (First party)

Las cookies de primeras partes son creadas por la web que estamos visitando, por ejemplo, si visitamos www.facebook.com recibiremos una cookie exclusiva de Facebook.

Cookies de terceras partes (Third party)

Las conocidas como “cookies de terceros” son creadas cuando la web que visitamos incluye en su código objetos de otras fuentes, como anuncios (banners o pop-ups) Un anuncio de un tercero situado dentro de una web tiene la capacidad de generar cookies en nuestra visita.

Otros factores

Cookies Seguras

Si nos comunicamos con una web mediante una conexión https, cualquier cookie que se envíen hacia y desde nuestro navegador, estarán cifradas.

Veamos una de las primeras sanciones impuestas

Conviene cumplir la LSSI o "ley de cookies" para no arruinar a nuestra empresa

La ley se termina imponiendo, su paso es lento pero firme. A finales de Agosto D. Pablo Fernandez Burguero (letrado) publicó un proceso judicial abierto contra un cliente, en este caso una empresa, a la que el representaba.

1. La web de la empresa denunciada informaba a los visitantes del uso de cookies mediante un aviso que no estaba accesible en todas sus páginas (primera infracción)

2. El denunciante (particular) presenta la denuncia en Septiembre de 2012.

3. En Enero de este año, la empresa aumenta el contenido del aviso, confirmando al usuario que las cookies “ya se han instalado” en el dispositivo del visitante y que, si este quiere bloquearlas, debe configurar su navegador manualmente (segunda infracción, pues la web debe ofrecer en sí misma los controles necesarios)

4. El procedimiento sancionador de la Agencia Estatal de Protección de Datos da comienzo en Julio.

Pruebas realizadas por la AEPD al respecto

Según la instrucción del caso, se efectuaron diversas pruebas en distintos momentos:

 – Google Chrome en el equipo del Subinspector.
 – IE8 y Google Chrome en el equipo del Subinspector.
 – Mozilla Firefox portable v.21 con Firebug v1.11.3 instalado.

Lo que debemos recordar

Si hay una norma que nuestra empresa debe conocer y respetar a rajatabla es la referente al punto tercero del artículo 4 del Real Decreto-ley 13/2012, citada a continuación:

Artículo 22.2 de la Ley 34/2002. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Claves para cumplir la política de uso de cookies

Comprobemos qué tipo de cookies o tecnologías similares emplea nuestro sitio web y qué finalidad tienen.

Esto requiere una auditoría de nuestra web o puede ser tan simple como comprobar que archivos de datos son colocados en los terminales de los usuarios y por qué. Deberemos analizar cuales de esas cookies son necesarias (cookies técnicas) y por tanto no requieren consentimiento del usuario. Esto nos ofrece, además, la oportunidad de “limpiar” nuestro sitio web y descartar aquellas cookies que no son necesarias o se han vuelto redundantes con la evolución de la web.

Evaluemos como de intrusivas son nuestras cookies (opcional)

No es un paso obligatorio, pero podría sernos útil pensar en las cookies  como en una “barra deslizante”, con las cookies neutrales en cuanto a privacidad en la parte inferior y las más intrusivas en la parte opuesta. Entonces podremos enfocar nuestros esfuerzos en alcanzar el cumplimiento adecuadamente, proporcionando más información y ofreciendo más libertad de elección al usuario en la zona más intrusiva.

Decidamos que solución para obtener consentimiento se adapta mejor a nuestros intereses.

Básicamente , cuanto más relacionadas están las cookies con la información personal del usuario, más cuidadosamente debemos pensar en obtener su consentimiento. Proporcoinar informacion a los internautas sobre el uso de cookies no solo es obligatorio en ciertos casos, más allá de esto es recomendable porque demuestra a nuestros visitantes que tenemos en cuenta la legislación y hemos desarrollado un plan para cumplirla.

Actualizaremos nuestra política de privacidad para proveer información sobre el tratamiento de cookies en nuestro  sitio web.

Se debe mostrar al usuario un aviso en forma de banner que esté visiblemente ubicado (superior) en todas y cada una de las páginas que forman parte del sitio web, este no podrá desaparecer sin haber permitido la elección del consumidor. En dicho banner se debe especificar el tipo de cookies que utiliza nuestro sitio web durante la navegación: cookies exclusivas del sitio, cookies de terceros o ambas.

Adicionalmente, en dicho banner incluiremos un enlace a nuestra Política de Privacidad, adjuntando los pasos necesarios para eliminar las cookies (cuidado, con la reforma de la ley esto ya no es suficiente, pero recomendamos ponerlo)

NOTA: no sólo se requiere informar al usuario sobre el uso de cookies, también se le debe proporcionar un control visible para que pueda revocar en cualquier momento dichas cookies, sin perjuicio de que hubiesen sido aceptadas anteriormente.

Cookies que no requieren aprobación del usuario 

Cookies de entrada del usuario
Cookies de sesión autenticación identificación 
de usuario
Cookies de seguridad del usuario
Cookies de sesión de reproductor 
multimedia
Cookies de carga
Cookies de personalización de la interfaz de 
usuario
Cookies de complemento (plug-in) para 
intercambiar contenidos sociales
Cookies de cesta de la compra 
Cookies para rellenar un formulario

Cookies que requieren información y consentimiento del usuario

Conviene leer este apartado detenidamente. Se consideran cookies afectadas por la normativa todas aquellas, tanto propias como de terceros, que traten datos para cualquier otra finalidad diferente a las anteriores. Ejemplos: 

Sistemas de análisis de uso/mediciones (Google Analytics y similares)
Publicidad de terceros accesible desde nuestra web (banners o de cualquier tipo
Promoción de nuestros productos o servicios en otras webs

Supongamos que en nuestra página web existe publicidad de otras empresas o usamos juegos desarrollados por terceros. En estos casos es altamente probable que se estén usando cookies de terceros, las cuales son de obligatoria aceptación.

Por otro lado, si estamos empleando el software de otra empresa para obtener datos sobre el uso de nuestra página u otro fin similar, es muy probable que esa empresa esté usando los datos obtenidos a partir de nuestra web para algo más que fines estadísticos. Podrían usarlos a su vez para mejorar sus propios servicios u ofrecer servicios a terceros, por ejemplo en forma de publicidad. 

En estos casos, aunque dichas cookies sean generadas desde nuestro propio dominio, sería obligatorio informar y obtener el consentimiento del usuario para que nuestra empresa y el resto puedan tratar los datos obtenidos.

IMPORTANTE: es frecuente que las empresas muestren el control sobre cookies cuando es demasiado tarde. Las cookies de obligada aceptación por el usuario solo pueden ser instaladas en su equipo DESPUES de su aceptación, en ningún caso antes.

Resumen del procedimiento de instalación de cookies no-técnicas

1. Información: El usuario ha de obtener información clara y completa sobre las cookies que se van a instalar en su ordenador. 
2. Consentimiento: Después de haber recibido la información, el usuario puede decidir aceptar las cookies. El usuario debe ser capaz de salir de la web sin que se le hayan instalado cookies.
3. Instalación: Después de que el usuario haya consentido la instalación de las cookies se le pueden instalar.

Normativa sobre consentimiento de cookies

La aceptación de la política de cookies se producirá de forma tácita. Esto significa que no es necesario que el usuario presione un botón que diga “Acepto el uso de cookies” (o similar) Podría, por ejemplo, estar unido a una acción del usuario (como un scroll de más de 200 píxeles) o la navegación a alguna otra sub-página. Podría, incluso, darse por consentido su uso si ha transcurrido un tiempo suficiente para que el usuario entienda lo que se le ofrece. (En Analytics de Google el tiempo a transcurrir será de 1 minuto)

Las información sobre cookies obligatoriamente estará escrita en castellano, pudiendo ser acompañada de otras lenguas co-oficiales.

Tengo un Blog / mi página de empresa está situada dentro de Facebook

La ley de la LSSI referente a cookies no permite emplear plataformas que incumplan la legislación española.

Si nuestro Blog (WordPress, Blogger u otra plataforma extranjera) o nuestra página de Facebook, Google+, etc. no son personales, sino que por el contrario están enmarcadas en el desarrollo de un actividad económica, estarán asumiendo ciertos riesgos, pues dependerán por completo del comportamiento de esa plataforma. En casos como WordPress, sabemos que se instalan cookies automáticamente sin pedir consentimiento (actualmente)

Sabemos lo atractiva que es una plataforma gratuita y de uso masivo como las mencionadas. Pero debemos recordar que el uso de cualquier plataforma no exime a nuestra empresa de cumplir con la norma.

Recursos

Software gratuito proporcionado por la plataforma CookieConsent.eu y nos permitirá cumplir la normativa.

Extensión multi-plataforma de Ghostery para comprobar que cookies se ejecutan.

Firebug, herramienta para webmasters de Firefox que permite analizar, entre otras cosas, las cookies.

AboutCookies (en inglés) es un sencillo aunque práctico sitio web con instrucciones para controlar cookies en muchos escenarios y plataformas.

Herramienta CookieCompliance que nos permitirá cumplir la normativa con un blog de WordPress.

Infográfico sobre cuestiones a recordar sobre la política de cookies

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR