Actualización de mayo de 2020: El Comité Europeo de Protección de Datos (CEPD) ha actualizado sus directrices sobre los mecanismos de recopilación del consentimiento. Obtén más información aquí.
Cuando hablamos de legislación de protección de datos, pensamos inmediatamente en las cookies, ya que ambos temas están estrechamente relacionados. Esto puede llevar a pensar erróneamente que la Ley de Cookies (o Directiva ePrivacy) ha sido derogada por el Reglamento General de Protección de Datos (RGPD), lo cual es absolutamente falso. Por el contrario, el RGPD y la Directiva ePrivacy trabajan juntos y se complementan entre sí.
La Directiva ePrivacy 2002/58/EC (o Ley de Cookies) se diseñó para implementar directrices precisas sobre el tratamiento de datos por medios electrónicos, incluido el marketing por correo electrónico y el uso de cookies, y todavía se aplica en la actualidad. En cierto sentido, se puede considerar la Directiva ePrivacy como una legislación que “complementa” al RGPD, en lugar de ser derogada por este último.
En general, las directivas establecen determinados objetivos y directrices acordados y los Estados miembros son libres de decidir cómo incorporarlos a la legislación nacional. Por otro lado, los reglamentos son jurídicamente vinculantes en todos los Estados miembros desde el momento de su entrada en vigor y se aplican según las normas establecidas a nivel comunitario.
💡 Para saber más sobre las reglas de consentimiento de cookies de la UE que se aplican por país, consulta nuestra guía RGPD y consentimiento de cookies: tabla de resumen aquí.
Dicho esto, la Directiva ePrivacy pronto será derogada por el Reglamento ePrivacy. El Reglamento ePrivacy debería aprobarse en un futuro próximo y trabajará junto con el RGPD para regular los requisitos para el uso de cookies, las comunicaciones electrónicas y la protección de datos/privacidad.
La Ley de Cookies no solo se aplica a las cookies, sino en general a cualquier tipo de tecnología que almacene o acceda a información en el dispositivo del usuario (por ejemplo, etiquetas de píxeles, huellas dactilares del dispositivo, identificadores únicos, etc.). Para simplificar, todas estas tecnologías, incluidas las cookies, se definen comúnmente como rastreadores*.
Además, la Ley de Cookies es, por así decirlo, neutral desde el punto de vista tecnológico, lo que significa que cubre no solo el entorno del sitio web y el navegador, sino también otros tipos de tecnología, incluidas las aplicaciones en smartphones, tabletas, televisores inteligentes u otros dispositivos.
* Sin embargo, en esta guía, los términos cookie/s y rastreador/es se utilizarán indistintamente.
La Ley de Cookies requiere que los usuarios proporcionen su consentimiento informado antes de que se puedan almacenar y/o rastrear cookies en sus dispositivos.
Esto significa que si tu web/app (o cualquier otro servicio de terceros utilizado por tu web/app) instala cookies, debes informar a los usuarios sobre las actividades de recopilación de datos y darles la posibilidad de elegir si dan su consentimiento o no. Por lo tanto, debes obtener el consentimiento informado antes de iniciar la instalación de estas cookies.
En la práctica, es necesario mostrar un banner de cookies en la primera visita del usuario, disponer de una política de cookies y permitir al usuario dar su consentimiento (a menos que tu web utilice únicamente cookies exentas, lo cual es muy poco probable). Antes de obtener el consentimiento, no se podrán instalar cookies (excepto aquellas que se encuentren exentas).
Es necesario mostrar un banner de cookies en la primera visita del usuario, disponer de una política de cookies y permitir al usuario dar su consentimiento. Antes de obtener el consentimiento, no se podrán instalar cookies (excepto aquellas que se encuentren exentas)
El aviso de cookies debe:
La política de cookies debe:
Las cookies de origen son aquellas gestionadas directamente por ti, el titular del sitio web o aplicación, por el contrario, las cookies de terceros son gestionadas por terceros y habilitan los servicios prestados por ellos. Normalmente, las cookies de terceros están presentes cuando tu sitio web/app utiliza servicios de terceros para incorporar, por ejemplo, imágenes, plugins de redes sociales o publicidad.
En conformidad con los principios generales de la normativa de privacidad, que no permite el tratamiento de los datos antes de obtener el consentimiento, la Ley de Cookies no permite la instalación de cookies antes de obtener el consentimiento del usuario. En la práctica, esto significa que tendrás que utilizar alguna forma de bloqueo de los scripts de cookies antes de obtener el consentimiento del usuario.
El consentimiento para la instalación de cookies debe ser informado y explícito, y se puede expresar mediante una clara acción afirmativa. Por lo tanto, si utilizas un mecanismo como las casillas de verificación, no deben estar previamente marcadas.
El documento del Grupo de Trabajo sobre la Ley de Cookies establece que:
Para garantizar que el mecanismo de recopilación del consentimiento para la instalación de cookies cumpla con las condiciones de cada Estado miembro, dicho mecanismo debe incluir cada uno de los elementos principales: información específica, consentimiento previo, indicación de las preferencias expresados por el comportamiento activo del usuario y la capacidad de elegir libremente.
Muchas autoridades de protección de datos de la UE han publicado guías sobre cookies y tecnologías similares que incluyen consejos y recomendaciones sobre métodos válidos para obtener el consentimiento.
La autoridad de protección de datos italiana ha actualizado las directrices sobre el uso de cookies y otros rastreadores. Las directrices se adoptaron en junio de 2021. Puedes leer el resumen aquí.
El Comité Europeo de Protección de Datos (CEPD) ha actualizado sus directrices sobre el consentimiento: Directrices 05/2020 sobre consentimiento según el Reglamento 2016/679. Esta actualización es importante ya que tiene como objetivo eliminar cualquier ambigüedad sobre el tema de las cookies. Los cambios más importantes son probablemente la prohibición de utilizar los llamados muros de cookies y el hecho de que el desplazamiento por la página y continuar navegando ya no se consideran mecanismos válidos para recopilar el consentimiento. Para obtener más información sobre qué reglas de consentimiento de cookies de la UE se aplican en cada país, consulta nuestra Guía de Consentimiento de Cookies: tabla de resumen aquí.
En cuanto a la denegación del consentimiento o la revocación del mismo después de haberlo prestado, la ley establece que el usuario debe tener la oportunidad de denegar o retirar su consentimiento. El documento del Grupo de Trabajo profundiza en este punto especificando que, en cuanto a la retirada o denegación del consentimiento expreso, se debe aportar:
Es posible que no tengas que alojar este medio o mecanismo directamente. En algunos casos, de acuerdo con la legislación de los Estados miembros, la configuración del navegador por sí sola ya se considera un medio aceptable para retirar el consentimiento.
Los mecanismos de recopilación de consentimiento que se consideran válidos pueden variar de un Estado miembro a otro
En general, la directiva no requiere específicamente que se enumeren todas las cookies de terceros una a una. Sin embargo, debes indicar claramente sus categorías y finalidades y si son cookies de terceros.
Es probable que esta decisión de la autoridad se haya tomado deliberadamente, para que los propietarios de webs/apps no deban verificar constantemente cada cookie de terceros, en busca de cambios que estén fuera de su control. De hecho, esto sería irrazonable, ineficiente y probablemente inútil para los usuarios.
Para profundizar más en este punto, te mostramos un extracto de la Guía de cookies de la ICO:
Aunque se pueden proporcionar listas largas de todas las cookies instaladas, para la mayoría de los usuarios una explicación más amplia de cómo funcionan las cookies y las categorías de cookies utilizadas es más que suficiente. Es probable que una descripción de los tipos de cookies analíticas utilizadas en el sitio web satisfaga los requisitos antes que un simple listado de las cookies empleadas que incluya referencias básicas a su función.
Esta orientación es desarrollada por la Autoridad Italiana de Protección de Datos (Garante Privacy) que declara expresamente lo siguiente:
Son muchas las razones por las que no es posible imponer al editor la obligación de proporcionar la información y obtener el consentimiento para la instalación de cookies dentro de su sitio web, incluso para aquellas instaladas por “terceros”.
En primer lugar, el editor debe tener siempre las herramientas y la capacidad económico-legal para asumir las obligaciones de terceros y, por tanto, también debe poder verificar periódicamente la correspondencia entre lo que declaran los terceros y las finalidades que realmente persiguen con el uso de cookies. Esto es muy difícil porque el editor a menudo no conoce directamente a todos los terceros que instalan cookies a través de su web y, por lo tanto, tampoco la lógica subyacente al tratamiento respectivo.
Además, no es raro que los concesionarios se interpongan entre el editor y los terceros, lo que hace que para el editor sea muy complejo controlar las actividades de todos los involucrados.
En segundo lugar, los terceros podrían modificar las cookies con el paso del tiempo y no resultaría práctico exigir a los editores que también realicen un seguimiento de estos cambios posteriores.
Además, también se debe tener en cuenta que los editores (una categoría que incluye a las personas físicas y las pequeñas empresas) suelen ser la parte más “débil” en este contexto. Por el contrario, los terceros suelen ser grandes empresas con un peso económico considerable que, por regla general, trabajan con varios editores, por lo que un editor a menudo puede tener relación con un número considerable de terceros.
Por todos estos motivos, este DPA opina que el editor no puede estar obligado a incluir, en la página de inicio de su sitio web, también el texto de la información relativa a las cookies instaladas a través de él por terceros.
La ley establece que el consentimiento recopilado se debe otorgar libremente para que se considere válido. El uso de métodos coercitivos para obtener el consentimiento puede invalidar el consentimiento obtenido. La ley hace algunas concesiones (dentro de lo razonable) cuando el funcionamiento del sitio web se ve afectado por el consentimiento o la falta del mismo.
El documento del Grupo de Trabajo establece que:
Los sitios web no deben hacer que el acceso general al sitio esté sujeto a la aceptación de todas las cookies, sino que solo pueden limitar ciertos contenidos si el usuario no da su consentimiento a las cookies.
Por esta razón, si bien parte del contenido (por razones legítimas) se puede restringir en función de las preferencias del usuario sobre las cookies, la capacidad de acceder a tu sitio web no debe verse forzada ni condicionada a su consentimiento.
En este sentido, ten en cuenta que, en sus directrices y recomendaciones, el EDPB, así como varias APD de la UE, han prohibido explícitamente el uso de los llamados “muros de cookies” basándose en un enfoque de “tómalo o déjalo” que requiere que los usuarios proporcionen necesariamente su consentimiento para acceder al contenido de un servicio online. Los muros de cookies no se consideran válidos, ya que el usuario no tiene una opción real.
Actualización La APD italiana (el Garante Privacy) ha declarado en sus últimas directrices sobre cookies y otras herramientas de seguimiento que actualmente prohíbe el uso del muro de cookies a menos que el sitio web ofrezca al usuario una alternativa equivalente para acceder al contenido o a los servicios sin prestar su consentimiento a las cookies u otros mecanismos de seguimiento, lo que deberá evaluarse caso por caso.
Estamos siguiendo la evolución del asunto desde que el Garante ha publicado un comunicado de prensa donde afirma que está analizando esta solución tal y como ya la aplican algunos editores italianos.
iubenda, como siempre, seguirá la evolución de este caso y te mantendrá informado de cualquier nueva decisión.
La Ley de Cookies considera dos exenciones al requisito del consentimiento, es decir:
Ejemplo: si utilizas una cookie de equilibrio de carga para distribuir el tráfico de red entre diferentes servidores. La única finalidad de la cookie es identificar uno de los servidores (es decir, un punto final de comunicación) y, como tal, se incluye en la exención de comunicación.
Ejemplo: si tu sitio web de comercio electrónico utiliza una cookie de sesión que permite a los usuarios “retener” artículos en su carrito mientras utilizan el sitio web o durante la duración de una sesión. En este caso, la cookie es necesaria para el funcionamiento del servicio de compras, que fue solicitada explícitamente por el usuario al indicar que le gustaría agregar el artículo al carrito. Del mismo modo, las cookies que se utilizan para recordar las preferencias de idioma de un usuario pueden caer dentro de la exención necesaria.
Es fundamental tener en cuenta que incluso cuando se apliquen estas excepciones al requisito del consentimiento, deberás informar al usuario de que estás utilizando cookies y tecnologías similares a través de una política de cookies. El banner no es necesario en estos casos específicos si la política de cookies es fácilmente accesible y visible desde todas las páginas del sitio web.
¿Es probable que las cookies y otros rastreadores utilizados con fines estadísticos se incluyan en las categorías exentas?
No hay una respuesta concreta. De hecho, las autoridades de protección de datos de la UE tienen diferentes interpretaciones al respecto. Por ejemplo, de acuerdo con las directrices de la ICO del Reino Unido, las cookies estadísticas no son cookies estrictamente necesarias y, por lo tanto, requieren consentimiento. Las autoridades belgas e irlandesas tienen una opinión similar. Por el contrario, según las autoridades de Francia, Alemania, los Países Bajos e Italia, las cookies estadísticas pueden considerarse estrictamente necesarias si existen circunstancias especiales (por ejemplo, son cookies de origen, la autoexclusión está anonimizada, el seguimiento cruzado no está habilitado). Para concluir, debes verificar cuidadosamente qué reglas se aplican a las cookies estadísticas en tu país de referencia.
Después de haber mostrado el banner de cookies en la primera visita del usuario, no es necesario que vuelvas a mostrárselo en cada visita. Sin embargo, deberías considerar la posibilidad de ofrecer a los usuarios la opción de volver a visualizar el banner en caso de que necesiten cambiar sus preferencias.
Si el usuario no ha prestado su consentimiento o sólo lo ha hecho para el uso de determinadas cookies, el banner no se volverá a mostrar salvo en los siguientes casos específicos:
Hay muchas razones por las que puede ser necesario proporcionar a los usuarios la opción de retirar su consentimiento. Algunas autoridades de protección de datos exigen que los usuarios tengan un fácil acceso a la actualización de sus preferencias. Por ejemplo, la APD italiana (el Garante) sugiere proporcionar un icono siempre visible durante la navegación que resuma las opciones del usuario. Para obtener más información al respecto y ver lo que exigen otras APD, consulta esta guía: RGPD y consentimiento de cookies: tabla de resumen. Merece la pena señalar que esto también es algo que interesa a las ONG de protección de la intimidad, como Noyb, que exige que los usuarios dispongan de una forma de retirar el consentimiento.
Asegúrate de que ofreces a tus usuarios la posibilidad de reabrir el banner de cookies habilitando el widget de privacidad en Privacy Controls and Cookie Solution.
También debes tener en cuenta que hay una serie de razones y circunstancias que pueden desencadenar la necesidad de pedir a los visitantes que “vuelvan a prestar su consentimiento” y, por lo tanto, se vuelva a mostrar el banner.
Un ejemplo práctico es cuando se utiliza una nueva cookie de terceros no exenta. En tal situación, tendrás que recopilar un nuevo consentimiento, ya que el consentimiento obtenido previamente del usuario sólo se aplicaría a los terceros de los que informaste en el momento original de la recogida.
Para ayudarte con este requisito, te brindamos la posibilidad de actualizar fácilmente la recopilación del consentimiento cada vez que se actualice la política de cookies.
Recuerda que algunas APD de la UE han especificado lo que puede considerarse un período de tiempo razonable para la validez del consentimiento de las cookies (por ejemplo, según la APD francesa, 6 meses se considera un período de tiempo razonable). Privacy Controls and Cookie Solution te permite configurar fácilmente este período de tiempo. Para obtener más información sobre los plazos de validez del consentimiento de cookies, consulta la guía RGPD y consentimiento de cookies: tabla de resumen.
Aunque la Ley de Cookies no requiere explícitamente que se mantenga un registro de consentimientos (solo una prueba), en la mayoría de los casos las cookies tratan datos personales, por lo que se puede aplicar el requisito de mantener un registro como lo exige el RGPD. Por lo tanto, muchas autoridades de protección de datos de la UE han alineado sus reglas de cookies y rastreadores con los requisitos del RGPD.
El Registro de Preferencias de Cookies y Consentimientos ahora está disponible en Privacy Controls and Cookie Solution.
Solo tienes que integrar esta función con un clic y podrás almacenar y gestionar fácilmente las pruebas de consentimiento de tus usuarios según lo requiere el RGDP.
Nuestra solución integral de gestión de cookies facilita el cumplimiento de las disposiciones de la Ley de Cookies europea. Como plataforma de gestión de consentimiento (CMP) certificada por IAB, Privacy Controls and Cookie Solution te ayuda a cumplir con los estándares requeridos por las redes publicitarias y a compartir las preferencias de consentimiento con ellas de manera compatible.
Te permite:
Privacy Controls and Cookie Solution informa adecuadamente al usuario sobre:
Nuestra solución permite la obtención del consentimiento activo al:
Te ofrece más opciones para: