AD 125/2021
¿QUÉ SON LAS COOKIES? ¿QUÉ PASA SI NO LAS ACEPTO?
Palabras clave: cookies, privacidad, consentimiento, información por capas, usuarios, sanciones, AEPD, páginas web, protección de datos.
Cada vez que accedemos a una página web estamos acostumbrados a ver un cartel informativo sobre la utilización de cookies para diversas funcionalidades en el que se solicita su aceptación, configuración o rechazo. Sin embargo, muchas veces no sabemos qué implicaciones tiene en nuestra privacidad y cuáles son las consecuencias de su aceptación.
Lo primero que hay que tener en cuenta es que, mediante la utilización de las cookies, las empresas o prestadores de servicios obtienen datos de los usuarios que posteriormente utilizan para fines publicitarios o para el desarrollo de mejoras o nuevos productos o servicios. Por tanto, se pueden definir las cookies como archivos o dispositivos generados por los sitios web que se descargan en el navegador web del equipo del usuario con la finalidad de almacenar datos, de manera que pueden consultar la actividad previa del navegador. De esta forma, tienen acceso a las búsquedas y preferencias del usuario.
Dado que las cookies recogen datos personales sobre los hábitos de navegación del usuario, pueden representar una amenaza para su seguridad ya que pueden producirse violaciones de datos, robos de información o simplemente pueden generar publicidad no deseada. Para evitar que esto ocurra conviene conocer los tipos de cookies que existen, cómo debe el sitio web informarnos sobre su uso, los requisitos para cumplir con la normativa de protección de datos, etc. No obstante, también hay que tener presente que las cookies pueden servir de gran ayuda, al facilitar la experiencia de usuario.
Tipos de cookies
Tal y como estable la Agencia Española de Protección de Datos (AEPD), existen varios tipos de cookies en función de una serie de categorías. Por un lado, según la entidad que las gestione, podemos distinguir:
- Cookies propias: son aquellas que se crean por la propia página web y que generalmente se utilizan para mejorar la experiencia de usuario. Un ejemplo de cookies propias son las de inicio de sesión, que facilitan el ingreso al sitio web al recordar el nombre de usuario.
- Cookies de terceros: son aquellas que se envían desde un equipo o dominio distinto al del sitio web visitado.
Por otro lado, según su finalidad, encontramos:
- Cookies técnicas: son aquellas que permiten al usuario la navegación a través de una página web o aplicación y la utilización de las diferentes opciones o servicios que ofrecen. Por ello, permiten controlar el tráfico, la comunicación de datos, acceder a parte de acceso restringido, etc. En definitiva, mejoran el funcionamiento del sitio web.
- Cookies de análisis o medición: son aquellas que recogen datos sobre el comportamiento de los usuarios con la finalidad de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios.
- Cookies de preferencias o personalización: son aquellas que permiten al usuario acceder al servicio con determinadas características generales que le diferencien de otros usuarios. Por ejemplo, la geolocalización, el idioma, el tipo de navegador, etc.
- Cookies de publicidad comportamental: son aquellas que recogen datos del comportamiento de los usuarios mediante la observación de sus hábitos de navegación. De esta forma pueden elaborar perfiles específicos para mostrar a cada usuario determinada publicidad.
No obstante, aunque la AEPD hace esta clasificación hay que tener en cuenta que es de carácter orientativo, por lo que los editores y terceros de cualquier sitio web pueden realizar las categorizaciones que consideren que se adapten mejor a su situación.
Por último, según el plazo de tiempo que permanecen activadas, podemos distinguir:
- Cookies de sesión: son aquellas que recaban datos únicamente mientras el usuario está navegando por la página web.
- Cookies persistentes: son aquellas que permiten que los datos del usuario se almacenen en el terminal y sean utilizados durante un periodo determinado por el responsable de la cookie. Este tipo de cookies pueden generar riegos para la privacidad del usuario, por ello se recomienda que el tiempo que permanezcan almacenadas sea el mínimo posible.
Obligaciones de las partes
De conformidad con el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información y de comercio electrónico (LSSI), las principales obligaciones impuestas a las partes intervinientes son la necesidad de proporcionar información clara y completa al usuario sobre el uso de cookies, principalmente sobre los fines del tratamiento de datos, y recabar su consentimiento (para las cookies no exceptuadas).
Por consiguiente, la información que se proporcione debe ser lo suficientemente completa para permitir a los usuarios comprender los aspectos básicos de las cookies, en particular, las finalidades con las que se recaban sus datos y los usos que se les darán.
De la misma manera, el Reglamento General de Protección de Datos (RGPD), exige informar a los usuarios sobre el tratamiento de sus datos personales.
Con respecto a la información, se debe elaborar una política de cookies, que debe ser actualizada periódicamente para asegurar que la información sea precisa y lo suficientemente completa. Principalmente, debe contener una definición de qué son las cookies, así como su propósito principal. Del mismo modo, debe contener información sobre el tipo de cookies utilizadas por el sitio web, quién las genera, cómo se debe aceptar, rechazar o revocar el consentimiento, el periodo de conservación de los datos, los derechos de los interesados, entre otros.
Dado que es mucha información para el usuario, el GT29[1], recomienda el uso de declaraciones o avisos de privacidad por niveles o capas a fin de que los interesados puedan dirigirse directamente a aquella información que les resulte de interés, mostrando la información más esencial en la primera capa. De esta forma, a los usuarios les resultará más fácil comprender la información y se evitará la fatiga informativa.
En este sentido, en una primera capa, que generalmente suele aparecer con el nombre de “aviso de cookies” o similares, se debería incluir la siguiente información básica:
- El responsable del tratamiento, es decir, el nombre del editor del sitio web.
- La finalidad de las cookies utilizadas.
- Información sobre si el uso de las cookies será sólo del editor (cookies propias) o también de terceros (cookies de terceros).
- Una breve descripción del tipo de datos que se van a recoger y a utilizar en caso de que se elaboren perfiles de usuarios.
- El modo de aceptar, configurar o rechazar las cookies, debiendo informar al usuario que si realiza una acción determinada se entenderá que acepta el uso de las cookies.
- El enlace a la segunda capa, que contendrá información mucho más detallada.
La segunda capa deberá contener el resto de información relevante, detallada anteriormente, como la definición de cookie, la tipología utilizada en el sitio web con sus correspondientes definiciones, el periodo de conservación de los datos, etc.
Por otro lado, los sitios web también deben tener en cuenta el tipo de usuario medio al que se dirigen para adaptar el lenguaje a su nivel técnico, evitando terminología poco comprensible. La información que se facilite también debe ser visible y accesible.
Es muy importante que las páginas web cumplan estos requisitos sobre cómo debe mostrarse la información y cuál debe ser el contenido mínimo, puesto que, de lo contrario, se pueden enfrentar a sanciones por parte de la AEPD. La realidad es que todavía encontramos muchas incorrecciones legales en los avisos o en las políticas de cookies de los sitios web.
Con respecto al consentimiento, es necesario tener en cuenta que hay distintas modalidades para prestarlo, que dependerán del tipo de cookies utilizadas, de su finalidad, etc. Igualmente, el usuario debe realizar una acción afirmativa para que se entienda que está consintiendo, por ejemplo, pulsando el botón de “aceptar”. Por ello, se exige que con esa acción quede claro que está aceptando dichas cookies. No obstante, si la página web ha diseñado acciones menos obvias que la de “aceptar” será necesario una breve explicación al usuario para que quede claro que, con dicha acción, está aceptando las cookies. Así mismo, es importante destacar que, como regla general, no es necesario recabar el consentimiento del usuario cada vez que acceda al mismo sitio web, siempre que éste se haya obtenido de forma válida.
¿Qué pasa si el usuario rechaza las cookies? ¿se puede denegar el acceso al servicio?
Según las directrices del Centro Europeo de Protección de Datos (CEPD), el acceso a los servicios del sitio web no puede estar condicionado a la aceptación del uso de cookies, puesto que no se trataría de un consentimiento libre. Por ello, aquellas páginas web que tengan implantados “muros de cookies” o ventanas emergentes que bloqueen el acceso deben modificar este mecanismo para que los usuarios puedan acceder libremente a las funcionalidades y servicios ofrecidos por el sitio web sin que tengan que necesariamente aceptar las cookies. El incumplimiento de estos requisitos, puede ser objeto de inspección y sanción por parte de la AEPD.
Por tanto, si el usuario lo considera oportuno puede rechazar las cookies de cualquier sitio web sin que ello suponga una denegación de acceso al servicio, dado que el consentimiento debe ser inequívoco y debe prestarse libremente. No obstante, pueden darse determinados supuestos en los que el rechazo o no aceptación de las cookies impida al usuario acceder, de forma total o parcial, a la página web, pero siempre que se haya informado previamente y se ofrezcan alternativas de acceso al servicio. En este caso, para ofrecer igualdad de garantías a los usuarios, estas alternativas deben ser equivalentes y prestadas por el mismo sitio web.
¿Cómo debe aparecer la configuración de las cookies?
Como se ha visto anteriormente, en la primera capa informativa debe aparecer una opción de configuración, aceptación o rechazo de cookies. Para poder configurarlas es necesario tener en cuenta que, tal y como señala el Considerando 32 del RGPD, no son admisibles las casillas ya marcadas a favor de aceptar las cookies. Para que sea válida la configuración, las casillas con cada una de las tipologías de cookies deben están desmarcadas, a excepción de las necesarias, para que el usuario pueda marcar aquellas que sí desee.
Aunque este asunto ya ha sido resuelto por el Tribunal de Justicia de la Unión Europea[2], todavía siguen existiendo páginas web que incumplen esta exigencia, marcando por defecto todas las cookies utilizadas. En estos casos el consentimiento no sería válido y, por tanto, el tratamiento de los datos no sería lícito, de conformidad con el artículo 6 del RGPD, por lo que también se podrían enfrentar a sanciones elevadas.
Tal y como se ha podido observar, las cookies recaban mucha información de los usuarios, desde datos personales hasta preferencias determinadas. Por ello, las entidades y sitios web pueden llegar a conocer nuestros hábitos, creencias u opiniones y todo ello con un simple clic. Para evitar que las cookies puedan invadir nuestra privacidad y más sabiendo que muchas páginas webs no cumplen con la normativa vigente, lo más adecuado es leer detenidamente la información facilitada y configurar aquellas cookies que sí queremos aceptar. De igual forma, es recomendable eliminarlas de vez en cuando del navegador para proteger nuestros datos personales.
Daniela Jiménez León
17 de agosto de 2021
REFERENCIAS BIBLIOGRÁFICAS
Guía sobre el uso de las cookies. Agencia Española de Protección de Datos (2020). https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf
Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679. European Data Protection Board (2020). https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_es.pdf
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. https://www.boe.es/buscar/act.php?id=BOE-A-2002-13758
Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas). https://www.boe.es/buscar/doc.php?id=DOUE-L-2002-81371
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos. https://www.boe.es/doue/2016/119/L00001-00088.pdf

Jurista implicada con las causas sociales. Graduada en Derecho y Administración y Dirección de Empresas por la Universidad Rey Juan Carlos. Máster de Acceso a la Abogacía en la Universidad Camilo José Cela y actualmente realizando el Máster en Dirección de Compliance & Protección de Datos en la Escuela Internacional de Posgrados. Asesora legal en Reclamador.es.
[1] El GT29 es un órgano consultivo independiente que está formado por representantes de cada Estado miembro de la Unión Europea que ha elaborado varias guías e informes relativos a la nueva normativa de protección de datos.
[2] Sentencia del Tribunal de Justicia de la Unión Europea, de 1 de octubre de 2019, C-673/17.