07 Mar Cookies y protección de datos
Según el art. 22.2 de la LSSI, las cookies son herramientas empleadas por los servidores Web (emisor) para almacenar y recuperar información de un equipo terminal receptor (persona física o jurídica), así como para ofrecer un correcto funcionamiento del sitio.
El considerando 30 del GDPR menciona estas tecnologías y su impacto en la protección de datos.
Mediante el uso de estos dispositivos se permite al servidor Web recordar algunos datos concernientes al usuario, como sus preferencias para la visualización de las páginas de ese servidor, nombre y contraseña, productos que más le interesan, etc.
Así mismo, este artículo 22.2 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos. Esta información debe facilitarse con arreglo a lo dispuesto el RGPD.
Según la Agencia Española de Protección de Datos, en adelante AEPD, cuando la utilización de una cookie conlleve un tratamiento que posibilite la identificación del usuario, los responsables del tratamiento deberán asegurarse del cumplimiento de las exigencias establecidas por la normativa sobre protección de datos.
No obstante, es necesario señalar que quedan exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI aquellas cookies necesarias para la intercomunicación de los terminales y la red y aquellas que prestan un servicio expresamente solicitado por el usuario.
En este sentido, el GT29, en su Dictamen 4/2012, interpretó que entre las cookies exceptuadas estarían:
- las Cookies de entrada del usuario (aquellas utilizadas para rellenar formularios, o como gestión de una cesta de la compra);
- cookies de autenticación o identificación de usuario (de sesión);
- cookies de seguridad del usuario (aquellas utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web);
- cookies de sesión de reproductor multimedia;
- cookies de sesión para equilibrar la carga;
- cookies de personalización de la interfaz de usuario y algunas de complemento (plug-in) para intercambiar contenidos sociales
Por lo tanto, no sería necesario informar ni obtener el consentimiento sobre su uso. Por el contrario, será necesario informar y obtener el consentimiento previo del usuario antes de la utilización de cualquier otro tipo de cookies, tanto de primera como de tercera parte, de sesión o persistentes.
Para legitimar un tratamiento basado en el consentimiento, no se deben usar ni instalar las cookies antes que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo. De la misma forma, debe ser tan fácil retirar el consentimiento como haberlo dado (art.7 GDPR): la retirada del consentimiento prestado previamente por el usuario deberá poder ser realizado en cualquier momento. A tal fin, el editor deberá ofrecer un mecanismo que posibilite retirar el consentimiento de forma fácil en cualquier momento. Se considerará que esa facilidad existe, por ejemplo, cuando el usuario tenga acceso sencillo y permanente al sistema de gestión o configuración de las cookies.
Puedes preguntarnos sin compromiso.