Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

Cookies y RGPD: ¿qué es realmente necesario?

Actualización de mayo de 2020: El Comité Europeo de Protección de Datos (CEPD) ha actualizado sus directrices sobre los mecanismos de recopilación del consentimiento. Obtén más información aquí.

Cuando hablamos de legislación de protección de datos, pensamos inmediatamente en las cookies, ya que ambos temas están estrechamente relacionados. Esto puede llevar a pensar erróneamente que la Ley de Cookies (o Directiva ePrivacy) ha sido derogada por el Reglamento General de Protección de Datos (RGPD), lo cual es absolutamente falso. Por el contrario, el RGPD y la Directiva ePrivacy trabajan juntos y se complementan entre sí.

En resumen
  • La Ley de Cookies no ha sido derogada por el RGPD y se sigue aplicando.
  • La Ley de Cookies requiere que los usuarios proporcionen su consentimiento informado antes de que se puedan almacenar y/o rastrear cookies en sus dispositivos.
  • El consentimiento para la instalación de cookies debe ser informado y basado en una acción afirmativa explícita. Estas acciones pueden incluir, de acuerdo con las disposiciones de las autoridades locales: continuar navegando, hacer clic en un enlace, desplazarse por la página o cualquier otro método que requiera que el usuario proceda activamente.
  • Aunque la Ley de Cookies no requiere explícitamente mantener un registro de consentimientos (sino tan solo la prueba de que se ha otorgado el consentimiento), muchas autoridades de protección de datos en la UE han alineado sus disposiciones sobre cookies con los requisitos del RGPD. Esto significa que, dependiendo del país que te corresponda, puedes estar obligado a mantener un registro de consentimientos para las cookies como lo requiere el RGPD.
  • La Ley de Cookies no requiere que se enumeren todas las cookies de terceros una a una, solo hay que indicar la categoría a la que pertenecen y la finalidad del tratamiento.
  • Si bien la Ley de Cookies no te obliga a gestionar el consentimiento para las cookies de terceros directamente desde tu página web/app, debes informar a los usuarios sobre el uso de estas cookies y la finalidad del tratamiento, así como proporcionar una enlace a las políticas de privacidad/cookies de estos terceros.

La Directiva ePrivacy 2002/58/EC (o Ley de Cookies) se diseñó para implementar directrices precisas sobre el tratamiento de datos por medios electrónicos, incluido el marketing por correo electrónico y el uso de cookies, y todavía se aplica en la actualidad. En cierto sentido, se puede considerar la Directiva ePrivacy como una legislación que “complementa” al RGPD, en lugar de ser derogada por este último.

En general, las directivas establecen determinados objetivos y directrices acordados y los Estados miembros son libres de decidir cómo incorporarlos a la legislación nacional. Por otro lado, los reglamentos son jurídicamente vinculantes en todos los Estados miembros desde el momento de su entrada en vigor y se aplican según las normas establecidas a nivel comunitario.

💡 Para saber más sobre las reglas de consentimiento de cookies de la UE que se aplican por país, consulta nuestra guía RGPD y consentimiento de cookies: tabla de resumen aquí.

Dicho esto, la Directiva ePrivacy pronto será derogada por el Reglamento ePrivacy. El Reglamento ePrivacy debería aprobarse en un futuro próximo y trabajará junto con el RGPD para regular los requisitos para el uso de cookies, las comunicaciones electrónicas y la protección de datos/privacidad.

¿Qué más cubre la Ley de Cookies, además de las cookies?

La Ley de Cookies no solo se aplica a las cookies, sino en general a cualquier tipo de tecnología que almacene o acceda a información en el dispositivo del usuario (por ejemplo, etiquetas de píxeles, huellas dactilares del dispositivo, identificadores únicos, etc.). Para simplificar, todas estas tecnologías, incluidas las cookies, se definen comúnmente como rastreadores*.

Además, la Ley de Cookies es, por así decirlo, neutral desde el punto de vista tecnológico, lo que significa que cubre no solo el entorno del sitio web y el navegador, sino también otros tipos de tecnología, incluidas las aplicaciones en smartphones, tabletas, televisores inteligentes u otros dispositivos.

* Sin embargo, en esta guía, los términos cookie/s y rastreador/es se utilizarán indistintamente.

La Ley de Cookies requiere que los usuarios proporcionen su consentimiento informado antes de que se puedan almacenar y/o rastrear cookies en sus dispositivos.

Esto significa que si tu web/app (o cualquier otro servicio de terceros utilizado por tu web/app) instala cookies, debes informar a los usuarios sobre las actividades de recopilación de datos y darles la posibilidad de elegir si dan su consentimiento o no. Por lo tanto, debes obtener el consentimiento informado antes de iniciar la instalación de estas cookies.

En la práctica, es necesario mostrar un banner de cookies en la primera visita del usuario, disponer de una política de cookies y permitir al usuario dar su consentimiento (a menos que tu web utilice únicamente cookies exentas, lo cual es muy poco probable). Antes de obtener el consentimiento, no se podrán instalar cookies (excepto aquellas que se encuentren exentas).

Es necesario mostrar un banner de cookies en la primera visita del usuario, disponer de una política de cookies y permitir al usuario dar su consentimiento. Antes de obtener el consentimiento, no se podrán instalar cookies (excepto aquellas que se encuentren exentas)

Mostrar un banner de cookies en la primera visita del usuario

El aviso de cookies debe:

  • explicar brevemente la finalidad de la instalación de las cookies que utiliza tu web;
  • definir claramente qué acción indica consentimiento;
  • ser lo suficientemente visible;
  • contener un enlace a una política de cookies o poner a disposición del usuario detalles sobre la finalidad, uso y la actividad de terceros relacionada con las cookies.

Disponer de una política de cookies

La política de cookies debe:

  • indicar el tipo de cookies instaladas, (por ejemplo, estadísticas, publicitarias, etc.);
  • describir en detalle la finalidad de la instalación de las cookies;
  • indicar todos los terceros que instalan o podrían instalar cookies, proporcionando también un enlace a sus respectivas políticas y a los formularios de autoexclusión (si están disponibles);
  • estar disponible en todos los idiomas en los que se presta el servicio.
💡 ¿Cuál es la diferencia entre las cookies “de origen” y “de terceros”?

Las cookies de origen son aquellas gestionadas directamente por ti, el titular del sitio web o aplicación, por el contrario, las cookies de terceros son gestionadas por terceros y habilitan los servicios prestados por ellos. Normalmente, las cookies de terceros están presentes cuando tu sitio web/app utiliza servicios de terceros para incorporar, por ejemplo, imágenes, plugins de redes sociales o publicidad.

Bloquear las cookies antes de obtener el consentimiento

En conformidad con los principios generales de la normativa de privacidad, que no permite el tratamiento de los datos antes de obtener el consentimiento, la Ley de Cookies no permite la instalación de cookies antes de obtener el consentimiento del usuario. En la práctica, esto significa que tendrás que utilizar alguna forma de bloqueo de los scripts de cookies antes de obtener el consentimiento del usuario.

Consentimiento para la instalación de cookies

El consentimiento para la instalación de cookies debe ser informado y explícito, y se puede expresar mediante una clara acción afirmativa. Por lo tanto, si utilizas un mecanismo como las casillas de verificación, no deben estar previamente marcadas.

El documento del Grupo de Trabajo sobre la Ley de Cookies establece que:

Para garantizar que el mecanismo de recopilación del consentimiento para la instalación de cookies cumpla con las condiciones de cada Estado miembro, dicho mecanismo debe incluir cada uno de los elementos principales: información específica, consentimiento previo, indicación de las preferencias expresados por el comportamiento activo del usuario y la capacidad de elegir libremente.

Muchas autoridades de protección de datos de la UE han publicado guías sobre cookies y tecnologías similares que incluyen consejos y recomendaciones sobre métodos válidos para obtener el consentimiento.

La autoridad de protección de datos italiana ha actualizado las directrices sobre el uso de cookies y otros rastreadores. Las directrices se adoptaron en junio de 2021. Puedes leer el resumen aquí.

Advertencia

El Comité Europeo de Protección de Datos (CEPD) ha actualizado sus directrices sobre el consentimiento: Directrices 05/2020 sobre consentimiento según el Reglamento 2016/679. Esta actualización es importante ya que tiene como objetivo eliminar cualquier ambigüedad sobre el tema de las cookies. Los cambios más importantes son probablemente la prohibición de utilizar los llamados muros de cookies y el hecho de que el desplazamiento por la página y continuar navegando ya no se consideran mecanismos válidos para recopilar el consentimiento. Para obtener más información sobre qué reglas de consentimiento de cookies de la UE se aplican en cada país, consulta nuestra Guía de Consentimiento de Cookies: tabla de resumen aquí.

En cuanto a la denegación del consentimiento o la revocación del mismo después de haberlo prestado, la ley establece que el usuario debe tener la oportunidad de denegar o retirar su consentimiento. El documento del Grupo de Trabajo profundiza en este punto especificando que, en cuanto a la retirada o denegación del consentimiento expreso, se debe aportar:

  • información sobre cómo los usuarios pueden retirar su consentimiento y las acciones necesarias para hacerlo;
  • un medio por el cual el usuario puede optar por aceptar o rechazar las cookies.

Es posible que no tengas que alojar este medio o mecanismo directamente. En algunos casos, de acuerdo con la legislación de los Estados miembros, la configuración del navegador por sí sola ya se considera un medio aceptable para retirar el consentimiento.

Los mecanismos de recopilación de consentimiento que se consideran válidos pueden variar de un Estado miembro a otro

La lista de cookies de terceros (¿es realmente necesario?)

En general, la directiva no requiere específicamente que se enumeren todas las cookies de terceros una a una. Sin embargo, debes indicar claramente sus categorías y finalidades y si son cookies de terceros.

Es probable que esta decisión de la autoridad se haya tomado deliberadamente, para que los propietarios de webs/apps no deban verificar constantemente cada cookie de terceros, en busca de cambios que estén fuera de su control. De hecho, esto sería irrazonable, ineficiente y probablemente inútil para los usuarios.

Para profundizar más en este punto, te mostramos un extracto de la Guía de cookies de la ICO:

Aunque se pueden proporcionar listas largas de todas las cookies instaladas, para la mayoría de los usuarios una explicación más amplia de cómo funcionan las cookies y las categorías de cookies utilizadas es más que suficiente. Es probable que una descripción de los tipos de cookies analíticas utilizadas en el sitio web satisfaga los requisitos antes que un simple listado de las cookies empleadas que incluya referencias básicas a su función.

Esta orientación es desarrollada por la Autoridad Italiana de Protección de Datos (Garante Privacy) que declara expresamente lo siguiente:

Son muchas las razones por las que no es posible imponer al editor la obligación de proporcionar la información y obtener el consentimiento para la instalación de cookies dentro de su sitio web, incluso para aquellas instaladas por “terceros”.

En primer lugar, el editor debe tener siempre las herramientas y la capacidad económico-legal para asumir las obligaciones de terceros y, por tanto, también debe poder verificar periódicamente la correspondencia entre lo que declaran los terceros y las finalidades que realmente persiguen ​​con el uso de cookies. Esto es muy difícil porque el editor a menudo no conoce directamente a todos los terceros que instalan cookies a través de su web y, por lo tanto, tampoco la lógica subyacente al tratamiento respectivo.

Además, no es raro que los concesionarios se interpongan entre el editor y los terceros, lo que hace que para el editor sea muy complejo controlar las actividades de todos los involucrados.

En segundo lugar, los terceros podrían modificar las cookies con el paso del tiempo y no resultaría práctico exigir a los editores que también realicen un seguimiento de estos cambios posteriores.

Además, también se debe tener en cuenta que los editores (una categoría que incluye a las personas físicas y las pequeñas empresas) suelen ser la parte más “débil” en este contexto. Por el contrario, los terceros suelen ser grandes empresas con un peso económico considerable que, por regla general, trabajan con varios editores, por lo que un editor a menudo puede tener relación con un número considerable de terceros.

Por todos estos motivos, este DPA opina que el editor no puede estar obligado a incluir, en la página de inicio de su sitio web, también el texto de la información relativa a las cookies instaladas a través de él por terceros.

El consentimiento “otorgado libremente” y la prohibición de los muros de cookies

La ley establece que el consentimiento recopilado se debe otorgar libremente para que se considere válido. El uso de métodos coercitivos para obtener el consentimiento puede invalidar el consentimiento obtenido. La ley hace algunas concesiones (dentro de lo razonable) cuando el funcionamiento del sitio web se ve afectado por el consentimiento o la falta del mismo.

El documento del Grupo de Trabajo establece que:

Los sitios web no deben hacer que el acceso general al sitio esté sujeto a la aceptación de todas las cookies, sino que solo pueden limitar ciertos contenidos si el usuario no da su consentimiento a las cookies.

Por esta razón, si bien parte del contenido (por razones legítimas) se puede restringir en función de las preferencias del usuario sobre las cookies, la capacidad de acceder a tu sitio web no debe verse forzada ni condicionada a su consentimiento.

En este sentido, ten en cuenta que, en sus directrices y recomendaciones, el EDPB, así como varias APD de la UE, han prohibido explícitamente el uso de los llamados “muros de cookies” basándose en un enfoque de “tómalo o déjalo” que requiere que los usuarios proporcionen necesariamente su consentimiento para acceder al contenido de un servicio online. Los muros de cookies no se consideran válidos, ya que el usuario no tiene una opción real.

Actualización La APD italiana (el Garante Privacy) ha declarado en sus últimas directrices sobre cookies y otras herramientas de seguimiento que actualmente prohíbe el uso del muro de cookies a menos que el sitio web ofrezca al usuario una alternativa equivalente para acceder al contenido o a los servicios sin prestar su consentimiento a las cookies u otros mecanismos de seguimiento, lo que deberá evaluarse caso por caso. 

Estamos siguiendo la evolución del asunto desde que el Garante ha publicado un comunicado de prensa  donde afirma que está analizando esta solución tal y como ya la aplican algunos editores italianos. 

iubenda, como siempre, seguirá la evolución de este caso y te mantendrá informado de cualquier nueva decisión.

Exenciones al requisito del consentimiento

La Ley de Cookies considera dos exenciones al requisito del consentimiento, es decir:

  • la exención de comunicación que se aplica a las cookies y otros rastreadores cuyo único propósito es llevar a cabo la transmisión de una comunicación a través de una red (por ejemplo, para identificar los puntos finales de la comunicación; para permitir que los elementos de datos se intercambien en el orden previsto; para detectar errores de transmisión o pérdida de datos);

Ejemplo: si utilizas una cookie de equilibrio de carga para distribuir el tráfico de red entre diferentes servidores. La única finalidad de la cookie es identificar uno de los servidores (es decir, un punto final de comunicación) y, como tal, se incluye en la exención de comunicación.

  • la exención para las cookies estrictamente necesarias, que se aplica a las cookies y a otros rastreadores esenciales para proporcionar un “servicio de la sociedad de la información” (es decir, un servicio prestado a través de Internet, como un sitio web o una aplicación) solicitado por el usuario.

Ejemplo: si tu sitio web de comercio electrónico utiliza una cookie de sesión que permite a los usuarios “retener” artículos en su carrito mientras utilizan el sitio web o durante la duración de una sesión. En este caso, la cookie es necesaria para el funcionamiento del servicio de compras, que fue solicitada explícitamente por el usuario al indicar que le gustaría agregar el artículo al carrito. Del mismo modo, las cookies que se utilizan para recordar las preferencias de idioma de un usuario pueden caer dentro de la exención necesaria.

Es fundamental tener en cuenta que incluso cuando se apliquen estas excepciones al requisito del consentimiento, deberás informar al usuario de que estás utilizando cookies y tecnologías similares a través de una política de cookies. El banner no es necesario en estos casos específicos si la política de cookies es fácilmente accesible y visible desde todas las páginas del sitio web.

¿Es probable que las cookies y otros rastreadores utilizados con fines estadísticos se incluyan en las categorías exentas?

No hay una respuesta concreta. De hecho, las autoridades de protección de datos de la UE tienen diferentes interpretaciones al respecto. Por ejemplo, de acuerdo con las directrices de la ICO del Reino Unido, las cookies estadísticas no son cookies estrictamente necesarias y, por lo tanto, requieren consentimiento. Las autoridades belgas e irlandesas tienen una opinión similar. Por el contrario, según las autoridades de Francia, Alemania, los Países Bajos e Italia, las cookies estadísticas pueden considerarse estrictamente necesarias si existen circunstancias especiales (por ejemplo, son cookies de origen, la autoexclusión está anonimizada, el seguimiento cruzado no está habilitado). Para concluir, debes verificar cuidadosamente qué reglas se aplican a las cookies estadísticas en tu país de referencia.

¿Con qué frecuencia se puede obtener el consentimiento y volver a mostrar el banner?

Después de haber mostrado el banner de cookies en la primera visita del usuario, no es necesario que vuelvas a mostrárselo en cada visita. Sin embargo, deberías considerar la posibilidad de ofrecer a los usuarios la opción de volver a visualizar el banner en caso de que necesiten cambiar sus preferencias.

Si el usuario no ha prestado su consentimiento o sólo lo ha hecho para el uso de determinadas cookies, el banner no se volverá a mostrar salvo en los siguientes casos específicos:

  • cuando una o varias condiciones del tratamiento de datos cambien significativamente, por ejemplo, los “terceros”;
  • cuando al proveedor le resulte imposible saber si ya se ha colocado una cookie técnica en el dispositivo del usuario (por ejemplo, cuando el usuario elimina las cookies);
  • cuando hayan transcurrido al menos seis meses desde la anterior presentación del banner.

Hay muchas razones por las que puede ser necesario proporcionar a los usuarios la opción de retirar su consentimiento. Algunas autoridades de protección de datos exigen que los usuarios tengan un fácil acceso a la actualización de sus preferencias. Por ejemplo, la APD italiana (el Garante) sugiere proporcionar un icono siempre visible durante la navegación que resuma las opciones del usuario. Para obtener más información al respecto y ver lo que exigen otras APD, consulta esta guía: RGPD y consentimiento de cookies: tabla de resumen. Merece la pena señalar que esto también es algo que interesa a las ONG de protección de la intimidad, como Noyb, que exige que los usuarios dispongan de una forma de retirar el consentimiento. 

Asegúrate de que ofreces a tus usuarios la posibilidad de reabrir el banner de cookies habilitando el widget de privacidad en Privacy Controls and Cookie Solution.



También debes tener en cuenta que hay una serie de razones y circunstancias que pueden desencadenar la necesidad de pedir a los visitantes que “vuelvan a prestar su consentimiento” y, por lo tanto, se vuelva a mostrar el banner.
Un ejemplo práctico es cuando se utiliza una nueva cookie de terceros no exenta. En tal situación, tendrás que recopilar un nuevo consentimiento, ya que el consentimiento obtenido previamente del usuario sólo se aplicaría a los terceros de los que informaste en el momento original de la recogida.

Para ayudarte con este requisito, te brindamos la posibilidad de actualizar fácilmente la recopilación del consentimiento cada vez que se actualice la política de cookies.

Recuerda que algunas APD de la UE han especificado lo que puede considerarse un período de tiempo razonable para la validez del consentimiento de las cookies (por ejemplo, según la APD francesa, 6 meses se considera un período de tiempo razonable). Privacy Controls and Cookie Solution te permite configurar fácilmente este período de tiempo. Para obtener más información sobre los plazos de validez del consentimiento de cookies, consulta la guía RGPD y consentimiento de cookies: tabla de resumen.

Registro de consentimientos

Aunque la Ley de Cookies no requiere explícitamente que se mantenga un registro de consentimientos (solo una prueba), en la mayoría de los casos las cookies tratan datos personales, por lo que se puede aplicar el requisito de mantener un registro como lo exige el RGPD. Por lo tanto, muchas autoridades de protección de datos de la UE han alineado sus reglas de cookies y rastreadores con los requisitos del RGPD.

El Registro de Preferencias de Cookies y Consentimientos ahora está disponible en Privacy Controls and Cookie Solution.
Solo tienes que integrar esta función con un clic y podrás almacenar y gestionar fácilmente las pruebas de consentimiento de tus usuarios según lo requiere el RGDP.

Cómo te puede ayudar iubenda a gestionar el consentimiento de las cookies

Nuestra solución integral de gestión de cookies facilita el cumplimiento de las disposiciones de la Ley de Cookies europea. Como plataforma de gestión de consentimiento (CMP) certificada por IAB, Privacy Controls and Cookie Solution te ayuda a cumplir con los estándares requeridos por las redes publicitarias y a compartir las preferencias de consentimiento con ellas de manera compatible.

Te permite:

  • informar fácilmente a los usuarios a través de un banner de cookies y una página dedicada a la política de cookies (que se vincula automáticamente a tu política de privacidad e integra lo necesario para el cumplimiento de la Ley de Cookies);
  • obtener y guardar las preferencias de consentimiento de cookies;
  • recopilar consentimiento granular (por finalidad);
  • bloquear previamente los scripts antes de obtener el consentimiento;
  • aplicar el TCF de IAB con un solo clic;
  • almacenar pruebas de las preferencias de los usuarios a través del Registro de Preferencias de Cookies y Consentimientos

Privacy Controls and Cookie Solution informa adecuadamente al usuario sobre:

  • las cookies instaladas, su finalidad y cómo se utilizan;
  • las cookies de terceros, su finalidad (y con enlaces directos a las relativas políticas de terceros);
  • las distintas opciones disponibles para que puedas decidir si participar/dar tu consentimiento y autoexcluirte/retirar el consentimiento;
  • qué acción indica consentimiento;
  • cómo pueden gestionar sus preferencias sobre la instalación de cookies.

Nuestra solución permite la obtención del consentimiento activo al:

  • continuar navegando;
  • desplazarse por la página;
  • hacer clic en enlaces específicos.

Te ofrece más opciones para:

  • Elegir entre la opción “con consentimiento previo” (es decir, bloquear los scripts antes de obtener el consentimiento del usuario y reactivarlos solo después de registrar el consentimiento) o “sin consentimiento previo” (es decir, sin ningún bloqueo previo de cookies). El uso de la opción “con consentimiento previo” asegura que antes de dar su consentimiento, el usuario puede abrir la política de cookies y optar por la autoexclusión en cualquiera de los scripts de seguimiento, utilizando las herramientas para retirar el consentimiento proporcionadas por terceros. Recuerda que algunas regulaciones, incluida la legislación europea, exigen bloquear las cookies antes de obtener el consentimiento.
  • Agregar los botones “Aceptar” y “Rechazar”, como lo exigen las regulaciones de algunos estados.
  • Personalizar la posición y apariencia del banner de cookies. Por ejemplo, puedes cambiar los colores del banner para que se adapten a tu web o personalizar el encabezado con tu logotipo y los colores de tu empresa.
  • Realizar un seguimiento del consentimiento y guardar la configuración de consentimiento para cada usuario durante un máximo de 12 meses desde su última visita, según lo exige la ley.
  • Se puede integrar fácilmente en tu sitio web. Elige entre pegar directamente el código de integración en la sección head de todas las páginas de tu web o usar un plugin (actualmente tenemos plugins disponibles para WordPress, Joomla!, PrestaShop y Magento).

Gestiona el consentimiento de cookies con Privacy Controls and Cookie Solution

Fácil de utilizar, rápida y personalizable

Genera un banner de cookies

Más información