Política de Cookies

La Agencia Española de Protección de Datos ha editado en Julio de 2020 una nueva guía sobre el uso de las cookies. En el documento, la AEPD establece de forma muy detallada cómo debe articularse el procedimiento de consentimiento y configuración de cookies.

Aunque la instalación de cookies sigue estando regulado por la LSSI (todavía a la espera de lo que vaya a decir definitivamente el nuevo Reglamento e-Privacy), las autoridades en materia de protección de datos han matizado que, ahora, el consentimiento para la instalación de cookies debe basarse en los requisitos que establece el RGPD.

RECOMENDACIONES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS:

Debe excluirse cualquier tipo de información que induzca a confusión o desvirtúe la claridad del mensaje como por ejemplo «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted» o «para mejorar su navegación o similares».

Debe realizarse «mediante una clara acción afirmativa».

Esta exigencia supone que, según el criterio de algunas autoridades, la mera navegación o el hecho de que se haga scroll en una web después de que salte el aviso de cookies (pop- up o similar) diciendo «si continúa navegando consideramos que acepta su uso» o fórmulas similares ya no serían del todo válidas, porque se interpreta que hacer scroll es una acción «inconsciente» o «mecánica» de la que no puede deducirse necesariamente «una clara acción afirmativa».

La consecuencia práctica de esto es que la forma más recomendable de obtener el consentimiento para la instalación de cookies sea mediante un «acepto» que el visitante de la web deba pulsar en el aviso o pop-up de cookies que se le muestra al acceder a la web. O, al menos, que las cookies se instalen cuando exista «una clara acción afirmativa»: por ejemplo, que se instalen cuando el visitante acceda activamente a una sección de la web o acceda a algún apartado.

La fórmula habitual de “seguir navegando” podría seguir siendo válida si se refuerza la toma de decisiones sobre cookies. Como fórmulas posibles cabe considerar las siguientes:

• Inclusión en la primera capa de: un botón (o mecanismo semejante) para aceptar todas las cookies, otro para rechazarlas y un tercero para configurarlas (este último botón podría ser también un enlace dentro del texto de la primera capa, que permitiría acceder a un panel de configuración en el que el usuario podría optar entre habilitar o no las cookies de forma granular).

• Un botón para aceptar todas las cookies y otro para configurarlas, especificándose ya en esta primera capa que la opción de configurar las cookies sirve también para

Hay sitios web que incorporan un botón de «aceptar» pero utilizan cookies si el usuario sigue navegando .La inclusión del botón y la opción de «seguir navegando» deben considerarse incompatibles puesto que inducen a error en la manifestación del consentimiento.

Las fórmulas de obtención del consentimiento planteadas descritas no serían válidas en aquellos casos en los que el RGPD exige el consentimiento explícito (por ejemplo, si se tratan categorías especiales de datos). En estos casos, sería necesario incluir un opt-in específico.

En relación con el panel de configuración:

• Este panel podrá integrarse en la segunda capa informativa siempre y cuando el acceso al panel sea directo desde la primera capa, sin que el usuario tenga que navegar dentro de esta segunda capa para
• Para facilitar la selección, deberá implementarse un botón para habilitar las cookies y, otro para rechazarlas todas, siendo esta opción recomendable cuanto mayor sea el número distinto de cookies que se utilicen. (La negativa a la utilización de cookies debe ser tan sencilla como la aceptación y debe facilitarse la decisión del usuario).

Consentimiento granular (configuración de las cookies) y posibilidad de retirar el consentimiento tan fácil como se concedió.

Otra de las exigencias del RGPD es que el consentimiento debe ser «específico» y que el consentimiento debe poder retirarse tan fácil como se dio. En la práctica y en el ámbito de las cookies, esto se está interpretando en el sentido de que ya no vale sólo el «o aceptas todas o rechazas todas». Debe permitirse otorgar un «consentimiento granular» para las cookies, según su tipología/finalidad. Esto se traduce en que hay que posibilitar que, cuando salta el aviso de cookies inicial al acceder a la web, el usuario pueda configurar activamente sus preferencias de cookies y realizar opt-out de determinados tipos de cookies según su categoría/finalidad.

Lo que se está empezando a hacer es que, en el aviso de cookies (pop-up o aviso de primera capa) que salta al acceder a la web, haya una opción del tipo «configuración» o

similar, desde donde el usuario puede marcar o desmarcar las distintas tipologías de cookies que quiere permitir (por ejemplo, aceptar las funcionales y analíticas pero rechazar las publicitarias).

El grado de granularidad a la hora de mostrar la selección de cookies deberá valorarlo el editor del sitio web. En principio:

• Como mínimo deberían agruparse las cookies por su finalidad (por ejemplo, el usuario puede elegir habilitar las cookies analíticas y no así las publicitarias).
• Dentro de cada finalidad, y a elección del editor del sitio web, podrían agruparse las cookies en función del tercero que las

En relación con las cookies de terceros es suficiente con identificarlos por su nombre sin incluir la denominación social completa (por ejemplo, Google ).

• Debe evitarse el grado máximo de granularidad (selección cookie a cookie), ya que el exceso de información dificulta la toma de decisiones.

Guia de Cookies