‘Ley de cookies’ y pymes: cómo adaptarseBianka Hajdu 12 febrero, 2014 Aunque en la «ley de cookies» no aparezca la palabra cookie, sí es cierto que se trata de una ley y las leyes hay que cumplirlas. Para ser más precisos, se trata del apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico (LSSI), tras su modificación por el Real Decreto-ley 13/2012, de 30 de marzo. Se trata, pues, de una ley en vigor desde hace casi dos años y en relación a la cual ya hay multas por incumplimiento. ¿Qué dice la ley exactamente? La idea que hay detrás de la ley es el respeto de la privacidad de los usuarios y en ella se habla de «almacenamiento y recuperación de datos», no de cookies. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento, después de que se les haya facilitado información clara y completa sobre su utilización (…) Las cookies, que son archivos que se descargan en el navegador del usuario, representan una de las soluciones técnicas para almacenar y recuperar datos pero no son y, sobre todo, no serán la única solución para tal efecto. ¿Qué pymes deben preocuparse por cumplir esta ley? Deben preocuparse aquellas pymes que (1) tienen sitio web propio y (2) en su web recogen datos de los usuarios con fines de seguimiento y análisis del comportamiento de los mismos en el sitio web o con fines publicitarios. Por ejemplo, si en la web se usan herramientas como Google/Universal Analytics o StatCounter o si se hace seguimiento de la conversión de los anuncios digitales, la pyme debe cumplir esta ley. En la página 5 de la Guía sobre el uso de las cookies, una publicación de la Agencia Española de Protección de Datos (AEPD), se pueden consultar los fines para los que NO es necesario contar con la aceptación de los usuarios, por lo general fines técnicos que mejoran la experiencia del uso de la web. Mi recomendación es que desde la pyme se le pida al webmaster o la empresa que se encarga del mantenimiento de la web, un listado de todas las cookies usadas, con el fin de identificar aquéllas para cuya instalación en el navegador del usuario es necesario obtener el consentimiento de éste. Dicho listado servirá posteriormente para redactar el texto del aviso que debemos facilitar en la web. Informar no es suficiente Hasta el 30 de marzo de 2012 era suficiente informar sobre la finalidad de la recogida de datos. Desde entonces es necesario además obtener el consentimiento ANTES de poner en marcha el mecanismo de recogida de datos. Es decir, debemos impedir que sin el consentimiento del usuario nuestra web almacene datos en el dispositivo del usuario para luego acceder a esos datos. Este es el punto que muchas webs supuestamente adaptadas a la norma no hacen bien, pues instalan las cookies al mismo tiempo que piden el consentimiento. Este error se debe, en parte, a la disponibilidad de muchas soluciones técnicas en forma de plugins, desarrolladas por comunidades de software libre para leyes de otras administraciones, no la española. Cómo pedir el consentimiento La mencionada guía, en la página 18, deja claro que el consentimiento del usuario puede ser tanto explícito como implícito. Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento” (…). También podrá obtenerse infiriéndolo de una determinada acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies (…) Desde el momento en que el consentimiento puede ser implícito, lo esperable es que ésta sea la opción preferida, puesto que obtener el consentimiento explícito del usuario -siempre más difícil- se convierte en equivalente a jugar con desventaja en el mercado. Un consentimiento implícito en este contexto se produce, por ejemplo, cuando se informa al usuario de que, en el caso de continuar navegando por el sitio, se instalarán cookies en su navegador. El consentimiento implícito permite cumplir la ley sin perder un volumen considerable de datos; de hecho se obtienen los datos de todos aquellos usuarios que no rebotan menos de aquellos que desactivan las cookies. Qué poner en el aviso La información que se ha de facilitar al usuario debe abarcar varias cuestiones, de modo que es interesante presentarla «por capas», tal como se recomienda en la página 17 de la guía de la AEPD a la que venimos haciendo referencia desde el principio del post. Así, en la primera capa se debe informar de que la web recoge datos de los usuarios mediante cookies, con qué finalidad lo hace, qué comportamiento del usuario se va a considerar consentimiento y dónde puede obtener más información. No vale con decir «Nuestra web requiere cookies para funcionar» o «Sin cookies la web dejará de funcionar», como he visto en algunos sitios, puesto que el tipo de cookie que no podemos instalar sin consentimiento no son las técnicas requeridas para el funcionamiento, sino las de analítica y anuncios que técnicamente no son necesarias para el mismo. En la segunda capa de información se debe incluir un listado de las cookies que usa el sitio y su finalidad de uso, instrucciones para desactivar o eliminarlas e información sobre quién utiliza los datos recogidos (por ejemplo, las cookies de DoubleClick recogen datos que son usados ante todo por Google y no solo por el sitio web que envía las cookies al navegador del usuario). Esta segunda capa de información debe estar, además, disponible y fácilmente localizable en la web de una manera permanente, por ejemplo, mediante un enlace en el pie de página anclado en la frase «Información sobre cookies«, en lugar de estar incluida en páginas genéricas sobre términos y condiciones. Conclusión En lo referente al uso de cookies de analítica y de anuncios, la ley española es más restrictiva que las leyes de otras administraciones y obliga a obtener el consentimiento informado del usuario ANTES de enviar cookies a su navegador. Es recomendable, pues, que las pymes revisen que la solución técnica que han adoptado cumple con este requisito y que la información que deben facilitar al usuario -tanto la información previa al envío de cookies como la información permanente- incluye todos los detalles especificados. Nota: En Cartograf liberamos hace poco un plugin para WordPress hecho específicamente para cumplir la «ley de cookies» española. Si conoces otros plugins, tanto para WordPress como para otros sistemas de gestión de experiencias web, por favor compártelos en comentarios. Foto: ssoosay con licencia CC BY Foursquare, la geolocalización social de tu negocioGuideo: la primera ‘app’ turística con realidad aumentada
Telefónica Pymes AVISO: En Think Big Pymes nos trasladamos A partir de ahora, TODOS los contenidos del blog Think Big Pymes, se trasladan a la Comunidad Empresas, un espacio de referencia para la pequeña y mediana empresa, donde...
Íñigo Morete Ortiz Explora las novedades de Telefónica Open Gateway en su newsletter En la actualidad, acceder a información actualizada es un impulsor indispensable para el progreso empresarial, permitiendo que las empresas avancen de manera más ágil y eficiente. Hoy en día...
Telefónica Pymes Joinup, movilidad sostenible para empresas y empleados Los servicios de movilidad corporativa cada día toman una mayor relevancia en el panorama laboral, una oportunidad de negocio que hace más de una década detectaron Elena Peyró y...
Telefónica Pymes Transformando el calor en frío para ser más eficientes. El caso de Castellana de Carnes ¿Y si el sol pudiera convertir el calor en frío? Seguimos visitando empresas que ya han descubierto las grandes ventajas de pasarse a la energía solar. En esta ocasión...
Raúl Alonso ¿Estás preparado para cumplir con la nueva factura electrónica obligatoria? La obligación para pymes y autónomos de emitir facturas de forma electrónica o digital se demora hasta mediados de 2025. Cierto que aún queda tiempo para prepararse, pero aquellos...
Álvaro Álvarez ¿Cómo mejorar la protección de los datos personales de tus clientes? La protección de los datos personales de los clientes es una prioridad para las empresas. No solo por la obligación de cumplir con la jurisprudencia de la conocida LOPD...
