‘Ley de cookies’ y pymes: cómo adaptarse

Bianka Hajdu    12 febrero, 2014

Aunque en la «ley de cookies» no aparezca la palabra cookie, sí es cierto que se trata de una ley y las leyes hay que cumplirlas. Para ser más precisos, se trata del apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico (LSSI), tras su modificación por el Real Decreto-ley 13/2012, de 30 de marzo. Se trata, pues, de una ley en vigor desde hace casi dos años y en relación a la cual ya hay multas por incumplimiento.

¿Qué dice la ley exactamente?

La idea que hay detrás de la ley es el respeto de la privacidad de los usuarios y en ella se habla de «almacenamiento y recuperación de datos», no de cookies.

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento, después de que se les haya facilitado información clara y completa sobre su utilización (…)

Las cookies, que son archivos que se descargan en el navegador del usuario, representan una de las soluciones técnicas para almacenar y recuperar datos pero no son y, sobre todo, no serán la única solución para tal efecto.

¿Qué pymes deben preocuparse por cumplir esta ley?

Deben preocuparse aquellas pymes que (1) tienen sitio web propio y (2) en su web recogen datos de los usuarios con fines de seguimiento y análisis del comportamiento de los mismos en el sitio web o con fines publicitarios. Por ejemplo, si en la web se usan herramientas como Google/Universal Analytics o StatCounter o si se hace seguimiento de la conversión de los anuncios digitales, la pyme debe cumplir esta ley.

En la página 5 de la Guía sobre el uso de las cookies, una publicación de la Agencia Española de Protección de Datos (AEPD), se pueden consultar los fines para los que NO es necesario contar con la aceptación de los usuarios, por lo general fines técnicos que mejoran la experiencia del uso de la web. Mi recomendación es que desde la pyme se le pida al webmaster o la empresa que se encarga del mantenimiento de la web, un listado de todas las cookies usadas, con el fin de identificar aquéllas para cuya instalación en el navegador del usuario es necesario obtener el consentimiento de éste. Dicho listado servirá posteriormente para redactar el texto del aviso que debemos facilitar en la web.

Informar no es suficiente

Hasta el 30 de marzo de 2012 era suficiente informar sobre la finalidad de la recogida de datos. Desde entonces es necesario además obtener el consentimiento ANTES de poner en marcha el mecanismo de recogida de datos. Es decir, debemos impedir que sin el consentimiento del usuario nuestra web almacene datos en el dispositivo del usuario para luego acceder a esos datos. Este es el punto que muchas webs supuestamente adaptadas a la norma no hacen bien, pues instalan las cookies al mismo tiempo que piden el consentimiento. Este error se debe, en parte, a la disponibilidad de muchas soluciones técnicas en forma de plugins, desarrolladas por comunidades de software libre para leyes de otras administraciones, no la española.

Cómo pedir el consentimiento

La mencionada guía, en la página 18, deja claro que el consentimiento del usuario puede ser tanto explícito como implícito.

Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento” (…). También podrá obtenerse infiriéndolo de una determinada acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies (…)

Desde el momento en que el consentimiento puede ser implícito, lo esperable es que ésta sea la opción preferida, puesto que obtener el consentimiento explícito del usuario -siempre más difícil- se convierte en equivalente a jugar con desventaja en el mercado. Un consentimiento implícito en este contexto se produce, por ejemplo, cuando se informa al usuario de que, en el caso de continuar navegando por el sitio, se instalarán cookies en su navegador. El consentimiento implícito permite cumplir la ley sin perder un volumen considerable de datos; de hecho se obtienen los datos de todos aquellos usuarios que no rebotan menos de aquellos que desactivan las cookies.

Qué poner en el aviso

La información que se ha de facilitar al usuario debe abarcar varias cuestiones, de modo que es interesante presentarla «por capas», tal como se recomienda en la página 17 de la guía de la AEPD a la que venimos haciendo referencia desde el principio del post.

Así, en la primera capa se debe informar de que la web recoge datos de los usuarios mediante cookies, con qué finalidad lo hace, qué comportamiento del usuario se va a considerar consentimiento y dónde puede obtener más información. No vale con decir «Nuestra web requiere cookies para funcionar» o «Sin cookies la web dejará de funcionar», como he visto en algunos sitios, puesto que el tipo de cookie que no podemos instalar sin consentimiento no son las técnicas requeridas para el funcionamiento, sino las de analítica y anuncios que técnicamente no son necesarias para el mismo.

En la segunda capa de información se debe incluir un listado de las cookies que usa el sitio y su finalidad de uso, instrucciones para desactivar o eliminarlas e información sobre quién utiliza los datos recogidos (por ejemplo, las cookies de DoubleClick recogen datos que son usados ante todo por Google y no solo por el sitio web que envía las cookies al navegador del usuario). Esta segunda capa de información debe estar, además, disponible y fácilmente localizable en la web de una manera permanente, por ejemplo, mediante un enlace en el pie de página anclado en la frase «Información sobre cookies«, en lugar de estar incluida en páginas genéricas sobre términos y condiciones.

Conclusión

En lo referente al uso de cookies de analítica y de anuncios, la ley española es más restrictiva que las leyes de otras administraciones y obliga a obtener el consentimiento informado del usuario ANTES de enviar cookies a su navegador. Es recomendable, pues, que las pymes revisen que la solución técnica que han adoptado cumple con este requisito y que la información que deben facilitar al usuario -tanto la información previa al envío de cookies como la información permanente- incluye todos los detalles especificados.

Nota: En Cartograf liberamos hace poco un plugin para WordPress hecho específicamente para cumplir la «ley de cookies» española. Si conoces otros plugins, tanto para WordPress como para otros sistemas de gestión de experiencias web, por favor compártelos en comentarios.

Foto: ssoosay con licencia CC BY

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *