Ley española de cookies (normativa europea)

La “ley de cookies” es la transposición en España de la Directiva 2009/136/CE, integrada en nuestro ordenamiento mediante la modificación del apartado 2 del artículo 22 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).

¿Que es la normativa de cookies española?

Se trata de una modificación que afecta a la manera en la que podemos almacenar en el navegador la información sobre los visitantes y usuarios de nuestros sitios web, y es una adaptación de una directiva de ámbito europeo que paulatinamente están adoptando todos los países de la UE. Es lo que se ha llamado "Ley de cookies".

Esta normativa llamada "Ley" no es tal, sino que se trata únicamente del artículo 22 de la LSSI, que dice algo tan escueto como lo siguiente:

"Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario."

Esto implica la ilegalidad de almacenar información de cualquier tipo en el navegador del usuario que vaya a estar disponible entre visitas sin el previo consentimiento de éste.

Debemos informar a los usuarios de nuestra web de manera clara sobre qué cookies vamos a guardar en su ordenador antes de hacerlo. Y ello incluye no solo las cookies propias que podamos generar con nuestras aplicaciones, sino también las cookies de terceros que pudiera utilizar: esto incluye por ejemplo las de Google Analytics, Google Maps, Google Adsense, Youtube, Vimeo, Faceboook, Linkedin, otros botones de redes sociales, etc…

¿Afecta a mi página web o blog personal?

Si tu página no es comercial no estás afectado por la LSSI. Eso sí, si incluyes banners para tratar de ingresar algo por publicidad o si tienes botones de pago para vender algún producto (por ejemplo un pequeño libro electrónico o lo que sea), o si la utilizas con cualquier fin que se pueda considerar mínimamente comercial, entonces sí estará afectado.

Excepciones

En esta guía se establece con más o menos claridad qué cookies estarían dentro de las excepciones que establece el citado artículo de la LSSI-CE, es decir, aquellas cookies que para su instalación y uso no requieren el consentimiento previo e informado de los usuarios, facilitando con ello su identificación. Asimismo, aparte de enunciar las cookies exceptuadas, divididas en dos categorías generales en función de su finalidad, estas son, aquellas que permiten únicamente la comunicación entre el equipo del usuario y la red y aquellas que sirven para prestar un servicio expresamente solicitado por el usuario, recoge un Dictamen emitido por el Grupo de Trabajo del Artículo 29, donde se realiza una interpretación de las excepciones de la norma y en el que se especifica qué tipo de cookies estarían englobadas dentro de las categorías generales antes mencionadas, concretamente nos estamos refiriendo a las siguientes:

• Cookies de sesión y de entrada de usuario, como por ejemplo, aquellas que se utilizan para rastrear las acciones del usuario a la hora de rellenar los formularios web, como las cestas de la compra.
• Cookies de identificación y/o autenticación.
• Cookies de seguridad, como las utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web.
• Cookies de sesión de reproductor multimedia que se utilizan para almacenar los datos técnicos necesarios para reproducir contenidos de vídeo o audio, como calidad de la imagen, velocidad de conexión a la red y parámetros de almacenamiento temporal.
• Cookies de sesión para equilibrar la carga, es una cookie técnica, que se utiliza para, por ejemplo, identificar el servidor de reserva hacia el que el equilibrador de carga redirigirá correctamente las solicitudes web de los usuarios.
• Cookies de personalización de la interfaz de usuario que se utilizan para almacenar una preferencia del usuario en relación con la página web visitada, como puede ser la preferencia del idioma.
• Cookies de complemento (plug-in) para intercambiar contenidos sociales, es decir, son cookies de terceros que se utilizan para compartir contenidos sociales por los miembros conectados a una red social, esta excepción sólo es plicable a usuarios conectados a la red, por lo que a los usuarios no conectados hay que informarles explicitamente de forma previa a su instalación.  

Es decir, que todas aquellas cookies que no se encuentren dentro de una de las dos categorías generales mencionadas y no cumplan alguna de las finalidades anteriormente descritas deberán, recabar, con carácter previo a su instalación, el consentimiento informado de los usuarios.

Google Analytics y otras herramientas de estadísticas de visitas.

Otra parte esencial de cuaquier sitio web es la necesidad de analizar el tráfico que recibe. Ello permite conocer de forma anónima cuestiones fundamentales para mejorar el marketing y el foco de nuestro sitio web o de nuestra aplicación: de dónde vienen nuestros visitantes, qué palabras clave de búsqueda han utilizado para llegar a nosotros, cuánto tiempo echan en el sitio, qué rutas siguen, en qué punto abandonan un proceso de compra…. Imprescindible.

La herramienta más habitual de análisis y que usa un elevado porcentaje de los sitios web es Google Analytics. Es gratuita y fácil de poner en marcha y ofrece un análisis anónimo realmente bueno.

Redes sociales

Es común colocar en tu página web botones de redes sociales, tanto para permitir que te sigan a ti o a tu empresa, como para fomentar que compartan artículos, productos y otros contenidos en las diferentes redes sociales. Además las redes sociales se integran en nuestras páginas y aplicaciones de muchas otras formas: para hacer comentarios, con posts embebidos, contadores de compartición de páginas… En la actualidad las principales redes sociales están presentes en una gran mayoría de las páginas web de terceros, y se puede considerar en muchos casos que son una parte casi indispensable.

¿Qué dice la directiva europea respecto a las cookies de estas redes sociales?

Primeramente distingue entre los usuarios que están con su sesión abierta en las redes sociales y los que no la tienen abierta o no pertenecen a la red. Los primeros se supone que son conscientes de ello y que saben que las redes en las que estén les están "vigilando" por lo que no es necesario avisarles de las cookies puestas por los botones y complementos de estos sitios que haya en nuestra página. A los demás usuarios (si no están dados de alta o no tienen la sesión abierta) hay que avisarles y además impedir la escritura de las cookies hasta que consientan explícitamente a ello.

En la práctica tú no tienes forma de saber si el usuario está conectado o no, por lo que debes controlar estas cookies. Aunque tú no seas el que pone esas cookies en tu página o aplicación, y aunque tampoco te beneficies de los perfiles que elaboran, si un usuario denuncia la responsable será tu empresa y no la red social o la aplicación ajena que ha creado la cookie. Así que no nos queda más remedio que controlar este hecho y ser nosotros los que no permitamos que se guarden esas cookies hasta que el usuario de su consentimiento.

¿Y si la página de mi empresa está alojada en una plataforma ajena (Wordpress, Blogger, Facebook, LinkedIn…)?

EN ESTE CASO NO CUMPLE LA NORMATIVA. El hecho de que sean estos servicios, fuera de tu control, los que ponen las cookies y no tú, no te exime de la responsabilidad que implica el artículo 22 de la LSSI. Es tu empresa como responsable de la página la responsable también de cumplir con la legislación e informar y pedir el consentimiento para el uso de las cookies. Si te denuncian el responsable es tu empresa y no la empresa que te presta el servicio.

Así que si tienes la página de tu empresa en wordpress.com, por ejemplo, atención porque se estará incumpliendo por defecto la "Ley de cookies" puesto que se generará automáticamente una cookie de seguimiento de la empresa Automatic ("madre" de Wordpress) y encima en EEUU, con lo que es transmisión internacional de datos personales (si los pidieras en la página, aunque la IP de conexión cuenta como dato personal, así que OJO).

Lo mismo si tienes una página de empresa en Facebook, LinkedIn o Google+, algo muy habitual. Aunque dudo que nadie te vaya a denunciar por eso (y le vayan a hacer caso), pero lo cierto es que iría contra la LSSI y su artículo 22.

¿Vale con mostrar un aviso?

No, la ley obliga a informar de manera clara, exhaustiva y previa a la instalación, de las cookies no-exentas que pueda haber en tu sitio web. Si instalas las cookies y luego informas no vale de nada.

Sanciones

La sanción por el incumplimiento leve (art. 38.4.g LSSI) de la Ley de Cookies (art. 22.2 LSSI) es de 300 hasta 30.000 (art 39.1.c LSSI). La sanción podría ser de hasta 150.000€ (art. 39.b LSSI) si el incumplimiento fuera significativo (art. 38.3.i LSSI).

Esto implicala necesidad de adaptar su web a la normativa para evitar el riesgo de las penalizaciones indicadas.

( fuentes y más información en elderecho.com y jasoft.com )