Cambios legislativos en relación a “cookies” y sus efectos

En el Boletín Oficial del Estado del sábado 31 de marzo de 2012 – Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de comunicaciones electrónicas. Este cambio legislativo nos afecta sobre todo en materia de Analítica Web, donde usamos cookies para el seguimiento de los usuarios y obtener las estadísticas relativas a los mismos.

Según el marco normativo nuevo, hay que pedirle autorización expresa a cada usuario que visita la web para realizar ese seguimiento utilizando las cookies. O sea, sólo se podrán instalar si se ha obtenido previamente a su instalación en el equipo “visitante” el consentimiento informado del interesado.

Quedan exentos de este procedimiento las cookies que sólo sirvan para el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas (caso 1) o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario (caso 2).

O sea, si las cookies son inherentes al servicio solicitado (carrito de la compra para comercio electrónico, acceso a banca online, etc) no hace falta el consentimiento.

 

Ejemplos de algunas funcionalidades de las páginas web actuales que usan cookies:

  • Cookies de Google Analytics: No son necesarias para transmitir información (caso 1) ni para un servicio solicitado por el usuario (caso 2). Por lo tanto, hay que avisar ANTES de que se instalen estas cookies en el ordenador del usuario.
  • Cookies del botón Google +: No son necesarias para transmitir información (caso 1) ni para un servicio solicitado por el usuario (caso 2). Por lo tanto, hay que avisar ANTES de que se instalen estas cookies en el ordenador del usuario.
  • Cookies de botones de Redes Sociales: No son necesarias para transmitir información (caso 1) ni para un servicio solicitado por el usario (caso 2). Por lo tanto, hay que avisar ANTES de que se instalen estas cookies en el ordenador del usuario.

 

Desde el punto de vista legal (totalmente contrario a la usabilidad y navegabilidad de las webs) lo ideal sería:

  1. El usuario se conecta a la Web del cliente.
  2. Salta un aviso en una ventana emergente que avisa de lo siguiente: “Para mejorar la experiencia del usuario, este sitio web utiliza cookies. Por favor acepta el uso de las mismas haciendo click sobre ACEPTAR. Si quieres más información sobre las cookies, haz click aquí”. Y la información sobre las cookies debe enlazar a una página que explique qué cookies se van a usar en el sitio web.
  3. Si el usuario hace click en ACEPTAR acepta expresamente el uso de cookies por la web.

 

Y ni hay que olvidar que también menciona una fórmula alternativa (art. 22.2 nuevo de la LSSICE) para obtener consentimiento: opciones de navegador (“parámetros adecuados del navegador”), siempre y cuando éste obligue al usuario a revisarlas durante su instalación o puesta al día (cosa que no ocurre aún con los navegadores actuales, pero que solucionará las cosas a medio plazo).

Dado que falta una interpretación por parte de la Agencia Española de Protección de Datos, hay que recurrir al derecho comparado y el país más avanzado en este tema es el Reino Unido (lleva casi un año con esta ley, aunque tenían una moratoria de un año en su aplicación). ¿Cómo se trata allí este tema?

  • Que la agencia local (Information Commissioner’s Office o “ICO”) ha emitido unas Directrices y aunque se considera que las “cookies analíticas” no están amparadas por la excepción (sí ha sido el caso en Francia), se deja patente que no serán objeto de acciones legales por su bajo nivel de “intrusión”.
  • Que el Government Digital Service (asesorando a organismos públicos en la prestación de servicios de administración electrónica) ha propuesto una clasificación en tres niveles de “intrusión”, con las cookies analíticas categorizadas a un nivel inferior que las cookies de tercera parte para la gestión de espacios publicitarios.
  • Que ninguna web gubernamental está pidiendo permiso previo para servir cookies analíticas, si bien se incluye una lista detallada de todas las cookies usadas en sus nuevas políticas de privacidad, mucho más visibles que antes.

¿Que hay que hacer para adaptarse a este cambio legislativo?

Auditar las cookies utilizadas por la página web:

  • Multitud de plugins utilizan cookies, os sorprenderéis de cuantos son. Para la auditoría se puede usar Firecookie bajo Mozilla Firefox.
  • Una vez auditadas las cookies, elimina las que no sean imprescindibles y hacemos una relación de las que se van a quedar. La información que se debe incluir es: Duración de las cookies en el ordenador del usuario (fecha de caducidad), que propósito tienen, y en caso de que sean de terceros, a quién pertenecen.
  • Esta relación hay que ir comprobándola y actualizándola periódicamente.

 

Cambiar la política de privacidad:

  • En la política de privacidad hay que incluir la relación anterior, incluyendo una explicación de qué cookies se usan y porqué (sencilla y comprensible).
  • Uno de los temas que hay que destacar es que solo se va a pedir consentimiento expreso para el uso de cookies de terceras partes cuando el usuario no haya solicitado expresamente las mismas. Por ejemplo: Si el usuario está logueado en Twitter y comparte un artículo desde la web a través del botón de Twitter, acepta el envío de información a Twitter y no hay que informarle del uso de cookies de terceros. Por otra parte si se muestra publicidad de un tercero en la web y se usan cookies para ello, el usuario debe ser informado del uso de las mismas.

 

Nos parece un buen esquema de actualización de la política de privacidad el publicado por AnalíticaWeb.es: “Cómo cumplir con la nueva ley de cookies“:

  1. Introducción: ¿Qué son las cookies? y ¿Por qué son esencialmente buenas?
  2. Explicación sobre los diferentes tipos de cookies en uso (ojo: explicación sencilla y comprensible):
    • Cookies analíticas.
    • Cookies de sesión: Exentas de la normativa, pero más vale incluir información de más que de menos.
    • Cookies de medios o redes sociales.
    • Cookies de módulos externos de contenido: Toda aquella información que es visible en la web, pero que proviene de terceros (normalmente suele estar alojado en un IFRAME). El ejemplo más común es Google Maps.
    • Cookies de terceros para uso de terceros: Explicamos que no las usamos, pero que, si lo hiciéramos, sería pidiendo permiso previo.
  3. Garantías adicionales: “Como garantía adicional a las arriba expuestas, el registro podrá estar sujeto a tu aceptación de cookies durante la instalación o puesta al día del navegador usado, y esta aceptación puede en todo momento ser revocada mediante las opciones de configuración de contenidos y privacidad disponibles.”
  4. Tabla con la relación de las cookies:
    • Nivel 1 (exento): Cookies inherentes al propio servicio que se presta (publicación de contenidos, carritos de la compra, etc)
    • Nivel 2 (mínimamente intrusivas): Cookies analíticas o vinculadas a módulos externos de contenido, si bien para uso propio
    • Nivel 3 (moderadamente intrusivas): Cookies gestionadas por terceros para la personalización de espacios publicitarios o el uso de plugins de redes sociales. Ambas deberían estar sujetas a permiso expreso, si bien estas últimas (Social Plugins) corresponden a servicios solicitados expresamente por el usuario (en Facebook o Twitter).
Esperamos haberos proporcionado información interesante y relevante para que vuestras páginas web cumplan la legalidad.