es
Cómo estar al día de la gestión de las cookies de tu sitio web

Cómo estar al día de la gestión de las cookies de tu sitio web

13.09.2023 | Blog, Informático, Jurídico

Disponer de un sitio web es básico para poder dar a conocer la labor de la entidad. Para las fundaciones, además, tener un sitio web es necesario para cumplir con los requisitos de transparencia.

Si tu entidad dispone de web, es importante que tengas en cuenta la gestión de las cookies. En caso de dudas, contacta con nosotros y te informaremos qué tienes que hacer para estar al día con estas obligaciones.

En primer término, hay que tener claro que una cookie es un fichero de datos que las webs envían automáticamente a los dispositivos de las personas usuarias que acceden. Por lo tanto, quien realiza la visita al portal almacena en su terminal unos datos.

El Reglamento General de Protección de Datos de la Unión Europea (GDPR) establece que los sitios web deben avisar y preguntar si se quieren instalar las cookies. Por ello, constantemente aparecen avisos cuando se navega por internet.

En este artículo hacemos un repaso de las principales cuestiones que deben tener en cuenta las entidades para cumplir la política de cookies. En este sentido, la Agencia Española de Protección de Datos (AEPD) tiene una ‘Guía sobre el uso de las cookies’ a partir de la normativa vigente:

Además, la última versión del documento incorpora las Directrices 03/2022 sobre patrones de diseño engañosos en interfaces de plataformas de redes sociales.

Tipos de cookies

La guía de la AEPD establece las siguientes categorías de cookies.

Según quien las gestiona:

  • Propias: las envía y gestiona el editor/a de la web que se está visitando.
  • De terceros: instaladas y gestionadas por otra empresa diferente a la del portal. Permiten crear perfiles de los gustos de los usuarios/as, ya que pueden tener datos de varios portales. Hay que tener en cuenta que cada vez más navegadores están eliminando las cookies de terceros.

Según su finalidad:

  • Técnicas: permiten optimizar o mejorar el funcionamiento de la web, por ejemplo, para gestionar un pago, identificar la sesión, contar las visitas, habilitar contenidos dinámicos… Las galletas técnicas, en general, quedan fuera de las obligaciones establecidas por la LSSI, porque «permiten ofrecer el servicio solicitado por el usuario». Estas cookies no se pueden utilizar con otros objetivos. No obstante, como novedad, si las decisiones son tomadas por quien edita la web a partir de la información del/la visitante (por ejemplo, el idioma se pone en función del idioma del buscador de la persona usuaria y no como elección), hay que informar y dar la opción de aceptarlas o no.
  • De preferencias o personalización: permiten personalizar la experiencia de los usuarios/as, por ejemplo, el idioma. En este caso, si el usuario/a determina estas preferencias a través de sus acciones, por ejemplo, seleccionando el idioma, también quedan fuera de las obligaciones de la LSSI.
  • De análisis o medición: permiten hacer el seguimiento y el análisis de los comportamientos del usuario/a dentro de la web con el fin de aplicar posteriormente mejoras.
  • De publicidad conductual: permiten almacenar información del comportamiento del usuario/a a partir de su navegación y crear perfiles específicos para poder mostrar la publicidad según los gustos.

Según el tiempo que están activas:

  • De sesión: solo recogen datos relevantes durante la sesión y, por lo tanto, al finalizarla desaparecen.
  • Persistentes: los datos continúan almacenados en el terminal y pueden ser tratados durante un tiempo variable que define el/la responsable de las cookies (desde unos minutos a unos años). Se recomienda el mínimo uso de cookies de este estilo y, en caso necesario, de la mínima duración posible. Para que no se tenga que informar el consentimiento de una cookie, es necesario que la caducidad esté en relación con su finalidad.

Para saber las cookies que utiliza un sitio web se puede hacer clicando la página con el botón derecho y en el menú desplegable seleccionar ‘inspeccionar’. En la nueva ventana, se debe clicar ‘aplicación’, situado en la parte superior, y luego en el apartado ‘cookies’ se pueden ver las que hay instaladas.

Obligaciones

La normativa establece dos obligaciones legales respecto de las galletas: por un lado, la transparencia y, por otro, la obtención del consentimiento. Esto significa que el gestor/a de una web o aplicación debe revisar (periódicamente) e identificar el tipo de cookies que se utilizan, para determinar si deben seguir lo establecido por la LSSI.

El dictamen sobre la exención del requisito de consentimiento de cookies indica que las galletas que solo permiten la comunicación entre el equipo del usuario y la red, y las que prestan un servicio solicitado expresamente por la persona usuaria no deben seguir estas obligaciones legales. Por lo tanto, el resto, sí deben cumplir la normativa.

Transparencia

La obligación de transparencia se traduce en el hecho de tener que dar información de las finalidades de las cookies y del uso de los datos obtenidos. Esto se plasma en la política de cookies (información diferente de la política de privacidad y el aviso legal), que debe incluir:

  • Definición y función genérica de las cookies.
  • Información de los tipos de cookies que se emplean y su finalidad. En caso de que se utilicen de terceros y no se pueda ofrecer la suficiente información, se puede enlazar con la web del tercero.
  • Información de quien las trata (el editor/a de la misma web u otra empresa). La identificación de los terceros se puede ofrecer de forma desplegable o emergente.
  • Información de la forma de aceptar, denegar y revocar el consentimiento de uso. Si una vez aceptadas las cookies de terceros se quiere cambiar la configuración, se debe ofrecer información de cómo gestionarlas a través de los diferentes navegadores o de las webs de las otras empresas.
  • Información sobre las transferencias de datos a terceros países que haga el propio editor/a y remitir a las webs de los terceros, en caso de que sean los que hagan la transferencia.
  • En caso de que se creen perfiles que comporten la toma de decisiones automatizadas con efectos jurídicos para el usuario/a, hay que informar de lo que supone (importancia y consecuencias).
  • Tiempo que se conservan los datos.
  • Para dar otras informaciones se puede remitir a la política de privacidad.

A menudo, esta información se presenta en una única página web que se enlaza en la parte inferior del portal. Seguir la localización habitual permite una mejor visualización.

Cómo se debe mostrar la información

En primer lugar, es necesario que la comunicación sea sencilla, con un lenguaje claro que no provoque confusiones, y breve. Hay que tener en cuenta el tipo de público al que se dirige la web.

También es necesario que la información sea de fácil acceso. En caso de que el usuario/a acepte el uso de las cookies, la información deberá seguir siendo accesible con no más de dos clics.

La normativa recomienda aportar la información por niveles o capas, según la profundización que quiera hacer el usuario/a. La primera capa debe ser visible desde la entrada a la web hasta su aceptación o rechazo y puede situarse en un banner, barra o similar.

En esta capa no se debe dar información que no sea necesaria, porque dificulta la toma de decisiones. Por lo tanto, debe incluir:

  • Identificación del editor/a responsable del sitio web (no es necesaria la denominación social, si está visible en otro sitio o se identifica de manera evidente).
  • Finalidad y propiedad de las cookies.
  • Tipos de datos que se recopilarán, en caso de que se elaboren perfiles de usuarios.
  • Manera de aceptar, configurar y rechazar el uso de las cookies, es decir, hacer la petición del consentimiento.
  • Enlace a la segunda capa donde se aportará más información y donde se podrán configurar las preferencias.

También deben estar los siguientes botones:

  • Aceptar.
  • Rechazar. No se aplicará a las cookies exentas de consentimiento. La actualización de 2023 obliga a que este botón sea visible en la primera capa de información.
  • Configuración.

Como novedad, también es necesario que los botones de aceptar y rechazar sean muy similares (tamaño de la letra, color…) y estén en la misma capa: «No se podrá dar la impresión de que el usuario debe aceptar obligatoriamente las cookies para navegar por el sitio web», tal y como recoge la guía. Se trata de que la información sea lo más clara posible y que no pueda dar lugar a ningún engaño.

Con los nuevos cambios, además, se debe permitir a las personas usuarias que puedan seleccionar qué cookies quieren. Por ello, las personas que gestionan el sitio web deberán tener opción para marcar y se deberá especificar cuáles son necesarias para el funcionamiento del portal.

También es importante tener presente que no pueden haber casillas marcadas previamente en la aceptación de las cookies.

En la segunda capa, que debe ser accesible permanentemente, hay que ofrecer la información del tipo de cookies, quién las gestiona, cómo aceptarlas o denegarlas, periodo de conservación…

Consentimiento

El consentimiento debe manifestarse de forma expresa y evidente, por ejemplo, a través de un clic en un botón claramente identificado, o de cualquier otra manera que suponga una acción inequívoca (y no compleja), siempre que se haya proporcionado la información clara y accesible. En caso de que se quieran utilizar otros métodos, hay que explicarlos. En ningún caso seguir navegando por la web supone una manera de aceptación.

Hay que especificar si el consentimiento es únicamente para las cookies de la web que se está visitando o también para las de otras webs gestionadas por el mismo editor/a o, incluso, si es para las cookies de otras empresas.

Para aceptar o no las cookies, se deben agrupar, como mínimo, por finalidad y también se puede hacer según el tercero, para que el usuario/a pueda escoger unas u otras.

Mecanismos para pedir el consentimiento:

  • Cuando la persona usuaria solicita el alta en un servicio (deberá separarse de otras condiciones).
  • Cuando se configura el funcionamiento de la web o aplicación.
  • A través de plataformas de gestión del consentimiento (CMP por sus siglas en inglés), que aparecen, por ejemplo, como una ventana emergente.
  • Antes de descargar un servicio o aplicación, siempre que las cookies no sean necesarias para el funcionamiento.
  • A través del formato de información por capas.
  • A través de la configuración del navegador, siempre que se presente el consentimiento separado según las finalidades y con la identificación del/la responsable del tratamiento. No obstante, desde la web también se debe permitir revocar o denegar el consentimiento, o dar la información para hacerlo.

Incluso, es posible dar la información y obtener el consentimiento de forma offline.

En caso de las webs dirigidas a menores de catorce años, la información para solicitar el consentimiento del/la titular de la patria potestad o tutela debe tener los mínimos datos posibles y ser sencilla. Por ejemplo, puede aparecer un mensaje que recomiende avisar al padre, madre o tutor/a para aceptar las condiciones.

En caso de que se puedan recordar ciertos datos en la web, habrá que pedir más información para verificar que el consentimiento es dado por la persona adulta, por ejemplo, indicando la edad o año de nacimiento. A medida que se vayan recopilando más datos, habrá que dificultar el proceso de verificación, por ejemplo, con un correo electrónico. En todo caso, se recomienda no utilizar cookies de publicidad conductual en webs dirigidas a menores.

Cómo gestionar el consentimiento

En caso de que un editor/a tenga diferentes webs, el consentimiento dado en una de las webs podrá servir para el resto, siempre que se informe de las webs que se incluyen y que sean de contenidos similares.

Cuando un consentimiento es obtenido de forma válida, no es necesario obtenerlo cada vez que el usuario/a acceda a la web. Esto, excepto si varían los fines de uso de las cookies. Además, esta selección no debería durar más de veinticuatro meses.

El usuario/a tiene derecho a retirar su consentimiento, a pesar de haberlo otorgado anteriormente. Por ello, es necesario que el editor/a proporcione la información necesaria para cambiar esta preferencia y debe poder hacerlo de forma tan sencilla como se hizo la aceptación.

La normativa también establece que el acceso a los servicios y funcionalidades no debe estar supeditado a la aceptación del usuario/a. Por lo tanto, a pesar de la no aceptación, deberá poder acceder a la web o se deberá informar a la persona sobre este tema y ofrecer una alternativa. A pesar de ello, la nueva versión aclara que la alternativa no deberá ser necesariamente gratuita.

Las novedades de 2023 deberán aplicarse antes del 11 de enero de 2024. Por esta razón, es pertinente que las entidades empiecen a familiarizarse con las obligaciones.

Fuente: redactado por el equipo de Suport Tercer Sector en Xarxanet.

Ets d'una associació, fundació o cooperativa no lucrativa? No et perdis cap entrada del nostre blog especialitzat en gestió del tercer sector

Política de privacitat *

¡Síguenos!

Suscríbete ahora a nuestro boletín

  • Hidden
  • Este campo es un campo de validación y debe quedar sin cambios.

Síguenos en las redes sociales

Somos Fundesplai

Somos una entidad sin ánimo de lucro que trabaja desde hace más de 45 años en favor de la educación y la felicidad de los niños y niñas, la equidad, la inclusión social, la protección de la naturaleza y el desarrollo del Tercer Sector.

A través de Suport Tercer Sector apoyamos y fortalecemos las entidades ofreciendo servicios y productos ajustados a las necesidades del mundo asociativo.

Conoce Fundesplai