II. Guía sobre las normas de uso de cookies
1. Alcance de las normas
El apartado segundo del artículo 22 de la LSSI establece:
2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
En consecuencia, las orientaciones de esta guía serán de utilidad a aquellos supuestos a los que resulte aplicable el apartado segundo del artículo 22 de la LSSI de conformidad con lo establecido en el Capítulo II de la propia LSSI que lleva por título “Ámbito de aplicación”.
4
En particular, conviene precisar que, de conformidad con el precepto transcrito, el mismo aplica a cualesquiera “dispositivos de almacenamiento y recuperación de datos” en cualesquiera “equipos terminales de los destinatarios” y que el Anexo de la citada LSSI define como “Destinatario del servicio o destinatario” a la “persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información”.
Así pues, el artículo 22 de la LSSI y la presente guía se refieren a la instalación de cookies y tecnologías similares utilizadas (tales como local shared objects o flash cookies2, etc.) para almacenar y recuperar datos de un equipo terminal (por ejemplo, un ordenador, un teléfono móvil o un tablet) de una persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información.
En todo caso nos permitimos recordar que cuando la instalación y/o utilización de una cookie conlleve el tratamiento de datos personales, los responsables de tal tratamiento deberán asegurarse del cumplimiento de las exigencias adicionales establecidas por la normativa sobre protección de datos personales, en particular en relación con los datos especialmente protegidos.
Asimismo, es conveniente recordar la necesidad de adoptar cautelas adicionales en este ámbito en relación con los menores de edad.
Finalmente, con la finalidad de determinar el alcance de la normativa y de esta guía es necesario señalar que quedan exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI las cookies utilizadas para alguna de las siguientes finalidades:
- Permitir únicamente la comunicación entre el equipo del usuario y la red.
- Estrictamente prestar un servicio expresamente solicitado por el usuario.En este sentido el Grupo de Trabajo del Artículo 29 en su Dictamen 4/20123 ha interpretado que entre las cookies exceptuadas estarían aquellas que tienen por finalidad:
2 Local shared objects o flash cookies: Los LSO o flash cookies son un tipo de cookies que pueden almacenar mucha más información que las cookies tradicionales. Al ser independientes del navegador utilizado son más difíciles de localizar, visualizar o borrar y pueden utilizarse, por ejemplo, para regenerar cookies estándar.
3 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion- recommendation/files/2012/wp194_es.pdf
4 Las cookies de sesión y de entrada de usuario se suelen utilizar para rastrear las acciones del usuario al rellenar los formularios en línea en varias páginas, o como cesta de la compra para hacer el seguimiento de los artículos que el usuario ha seleccionado al pulsar un botón.
|
|
Cookies de seguridad del usuario5 |
5
- Cookies de sesión de reproductor multimedia
- Cookies de sesión para equilibrar la carga
- Cookies de personalización de la interfaz de usuario
- Cookies de complemento (plug-in) para intercambiar contenidos socialesAsí pues, puede entenderse que estas cookies quedan excluidas del ámbito de aplicación del artículo 22.2 de la LSSI, y por lo tanto, no sería necesario informar ni obtener el consentimiento sobre su uso. Por el contrario, será necesario informar y obtener el consentimiento para la instalación y utilización de cualesquiera otro tipo de cookies, tanto de primera como de tercera parte, de sesión o persistentes, quedando sometidas al ámbito de aplicación del artículo 22.2 de la LSSI y, sobre las que serán útiles las orientaciones de esta guía.
El citado dictamen indica que para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello es mucho más probable que se consideren como exceptuadas las cookies de sesión que las persistentes.
En todo caso, deberá tenerse en cuenta que una misma cookie puede tener más de una finalidad, por lo que existe la posibilidad de que mientras para una finalidad o tratamiento la cookie quede exceptuada del ámbito de aplicación del artículo 22.2 de la LSSI, no lo esté para otras finalidades, quedando sujetas al ámbito de aplicación de dicho precepto.
5 Por ejemplo, las cookies utilizados para detectar intentos erróneos y reiterados de conexión a un sitio web.
Documentacion: http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.pdf