Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Qué son las cookies y cómo mostrarlas en un sitio web

Fecha de publicación 20/07/2021
Autor
INCIBE (INCIBE)
Teclado donde se muestra una tecla con la palabra cookies

Cada vez son más las empresas que se deciden a tener presencia en la web, sin importar su actividad. Algunas dan su primer paso a la web con páginas que informan de sus productos o servicios e indican donde están y las formas de contacto. Otras se lanzan a tener un trato estrecho con sus clientes a través de la web y a vender online productos o servicios con las ventajas que aporta el comercio electrónico ubicuo y extendido por todo el mundo.

Cuando decidimos contar con una página web, una tienda online o una plataforma de comercio electrónico, si no tenemos personal propio para su diseño y explotación, las pymes y autónomos dejamos esta tarea en las manos de socios tecnológicos. Aun así, además de los aspectos estéticos y operativos del mantenimiento de la web, la responsabilidad de cumplir con la ley sigue siendo nuestra. En este artículo comentaremos uno de los aspectos legales que has de considerar cuando decides tener una página web o una tienda online: las cookies.

¿Qué son las cookies?

Las cookies son pequeños archivos de datos que un servidor web almacena en nuestro navegador cuando visitamos una página. Existen muchos tipos de cookies. Las finalidades de estos archivos son variadas, entre otras recopilar información sobre los hábitos de navegación del usuario y su actividad dentro de la web, así como almacenar datos de acceso al sitio (nombre de usuario, contraseña, personalización de la página, fecha última visita, etc.) haciendo que la navegación web sea más cómoda para el usuario. Algunas cookies también permiten hacer un seguimiento del usuario entre sitios web, realizando un perfil anónimo orientado al uso por parte de las empresas de marketing online.

Generalmente no representan un problema si se trata de cookies de uso propio o dentro del sitio, ya que estas tienen una misión funcional, si por el contrario son cookies de terceros, pueden recoger datos personales que podrían poner en riesgo la privacidad del usuario.

Tipos de cookies y funciones

Aunque existen varias clasificaciones de cookies según quién las gestione y su finalidad, en este artículo nos centraremos en las más comunes y utilizadas, las que se clasifican según el tiempo que permanecen activas:

  • Cookies de sesión: se recogen datos únicamente mientras el usuario permanece en el sitio web, después, se eliminan.
  • Persistentes: se recogen datos que pueden permanecer almacenados un determinado periodo de tiempo definido por el administrador del sitio web.

Legislación sobre cookies

Las cookies aparecen por primera vez en la LSSI-CE, Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, y la antigua LOPD, Ley Orgánica de Protección de Datos Personales, y ya desde el principio suscitaron muchos comentarios, tanto de usuarios, como de empresas y en particular del sector del marketing online. Un aspecto controvertido ha sido conocer cuándo y cómo se ha de pedir consentimiento.

Actualmente, sigue vigente la LSSI-CE y la protección de datos está regulada por la LOPDGDD (LOPD y Garantía de Derechos Digitales) y por el Reglamento Europeo de Protección de Datos o RGPD. En Europa, las cookies han sido objeto de la directiva e-Privacy, ahora en fase de propuesta de Reglamento y por tanto, aun sujeto a modificaciones. Este reglamento una vez aprobado será de obligado cumplimiento para todos los países miembros de la UE.

La Agencia Española de Protección de Datos, ha publicado recientemente una Guía sobre el uso de las cookies para orientar a los diseñadores y administradores de páginas web y a las empresas de marketing online en el uso de las cookies según la legislación actual.

Casos donde no es necesario pedir consentimiento al usuario

Para que una cookie pueda estar exenta del consentimiento por parte del usuario, su caducidad debe estar relacionada con su finalidad, siendo la mínima posible, o eliminándose en un breve periodo de tiempo. Así pues, el GT29 (Grupo de Trabajo 29) actualmente sustituido por el CEPD (Comité Europeo de Protección de Datos) ha interpretado que las cookies que pueden quedar excluidas de la solicitud de consentimiento serían las que tienen por finalidad:

  • cookies de «entrada del usuario»;
  • cookies de autenticación o identificación del usuario (de sesión);
  • cookies de reproductor multimedia;
  • cookies de sesión para equilibrado de la carga en el servidor web;
  • cookies de personalización de la interfaz;
  • cookies tipo plug-in para intercambio de contenidos sociales.

Por tanto, se entiende que este tipo de cookies quedarían exentas del ámbito de aplicación del artículo 22.2 de la LSSI y no sería necesario ni informar ni obtener consentimiento del usuario. Aunque por razones de transparencia, se recomienda notificar al usuario acerca del empleo de las mismas, bien en la política de cookies o en la de privacidad.

NOTA: Si una cookie de las que quedarían exentas tiene más de una finalidad y el usuario solo acepta el uso de una de esas finalidades, entonces sí podría quedar sujeta al ámbito de aplicación del mencionado artículo 22.2 de la LSSI.

Qué información debe mostrarse y cómo

En la política de cookies debemos incluir la siguiente información:

Respecto a la forma de mostrar esta información al usuario, se establece que la información deberá ser concisa, transparente e inteligible (comprensible por un usuario medio) empleando un lenguaje claro, adaptado al nivel medio del usuario que utilizará ese sitio web, sin frases que desvirtúen el contenido o induzcan a confusión. El usuario no deberá buscar la información, se le proporcionará un enlace claramente visible, bajo el término «política de cookies» o «cookies» a no más de dos clics. Las cookies pueden implementarse al solicitar el ata en el servicio o descargarlo, o a modo de aviso suficientemente visible que podrá ser implementado en dos capas, la primera con información esencial que será ampliable en la segunda.

La primera capa debe incluir lo siguiente:

  • identificación del editor responsable del sitio;
  • finalidad de las cookies que se utilizarán;
  • especificar si se utilizan cookies propias o de terceros;
  • tipos de datos que se van a recopilar;
  • modo en que se pueden aceptar o rechazar las cookies, indicando que en caso de realizar determinada acción se entenderá la aceptación del usuario;
  • enlace a una segunda capa de información más detallada que estará disponible de forma permanente en el sitio web.

Esta información debe presentarse al usuario antes de la instalación de las cookies y debe mantenerse hasta que se produzca su consentimiento o rechazo.

Ejemplo de advertencia inicial de cookies de capa1. (Fuente: AEPD)

Ejemplo de advertencia inicial de cookies de capa1. (Fuente: AEPD)

El consentimiento: cómo obtenerlo y a quién va dirigido

El consentimiento del usuario deberá obtenerse de forma expresa, mediante botones del tipo «Acepto» o similares, o mediante la realización de una acción que conlleve la aceptación expresa, previa notificación al usuario en un contexto en el que se le haya informado del tratamiento y uso de las cookies en el sitio web. En ningún caso, se entenderá dado el consentimiento por la inactividad del usuario. También podrán obtenerse infiriéndolo de una acción inequívoca del usuario previamente informado.

Para que el consentimiento sea válido es necesario que sea otorgado de forma libre e informada.

El consentimiento debe ir siempre dirigido directamente al usuario o consumidor de los servicios que ofrece la página web, con opción a aceptar o rechazar las cookies y sin que esto suponga no poder utilizar el sitio web, en cuyo caso se le podrá informar de posibles limitaciones en el uso de los servicios. Además debe indicarse si el consentimiento es otorgado al sitio web o también a posibles terceros o asociados que prestan sus servicios.

Formas de obtener el consentimiento

Hemos visto que el consentimiento debe obtenerse de forma expresa y clara, pero ¿qué medios podemos emplear para logarlo?

  • al acceder al sitio web si existe un apartado de personalización;
  • al solicitar el alta en un servicio (procedimiento de registro);
  • a través de terceros mediante plataformas específicas de gestión;
  • antes de la utilización de un servicio de la página;
  • a través del sistema de capas mencionado anteriormente;
  • a través de la configuración del navegador (un método menos eficiente pues depende del nivel de seguridad del navegador del usuario).

¿Puedo denegar el acceso a la web en caso de que el usuario rechace las cookies?

Podrían darse algunos supuestos en los que la no aceptación de cookies impidan la normal utilización, total o parcial, de los servicios prestados por la página web, en cuyo caso, deberá informarse al usuario de esta situación y ofrecer al usuario una alternativa de acceso al servicio sin aceptar las cookies.

Esto podría cambiar con la entrada en vigor del Reglamento ePrivacy según el cual, en el actual borrador, se deberá permitir al usuario la navegación a pesar de haber rechazado previamente las cookies, excepto aquellas imprescindibles para el normal funcionamiento del sitio.

Responsabilidades

Las autoridades podrán requerir la responsabilidad del cumplimiento de las obligaciones en el uso de cookies a cada parte obligada. Podrían darse 3 situaciones típicas de uso:

  • cookies sin obligación de información, ni consentimiento;
  • cookies propias;
  • cookies propias y de terceros;

En términos generales, dada la gran variedad de situaciones específicas que podrían producirse cuando se hace empleo de cookies de terceros, tanto el responsable del sitio web, como las otras partes intervinientes son responsables del cumplimiento de dichas obligaciones. El administrador del sitio debe proveer información clara y suficiente a los usuarios y el tercero debe velar porque los enlaces a su información estén operativos. Cada parte será responsable del tratamiento que realice de la información recogida.

Deber de informar

La legislación actual también regula el deber de informar al usuario acerca del tratamiento de las cookies, algo que generalmente se realiza en las políticas de privacidad o en las de cookies (capa 2), donde se puede entrar en más detalle. Esta información debe mostrar al usuario donde puede encontrar la información relativa a cookies en su navegador, pudiendo eliminarlas o restringirlas.

Por otro lado, es buena práctica, informar a los usuarios que también disponen de herramientas de eliminación y bloqueo de terceros que les permitirán gestionarlas, reduciendo así el posible impacto en su privacidad.

Herramientas de verificación de cookies para el cumplimiento online

Como administradores de un sitio web, es importante conocer qué cookies se están usando, de cara a implementar una correcta política de privacidad y cookies, para ello disponemos de varias herramientas online:

  • Cookiebot.com : para comprobar el cumplimiento.
  • Cookieserve.com : escáner online de cookies de un sitio web.
  • Webcookies.org : analizador de cookies que mide el impacto en la privacidad y especifica qué tipo de cookies está usando el sitio web.

Ejemplo de advertencia inicial de cookies de capa1. (Fuente: AEPD)

Informe de cookies en webcookies.org sobre la web de INCIBE

Si tienes una web, adecua a la ley la selección de cookies y mantén la privacidad de tus clientes a salvo, además conseguirás mejorar la confianza online y la reputación de tu sitio web.

Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad