Cerrar panel

Cerrar panel

Cerrar panel

Cerrar panel

Internet 27 ene 2021

¿Qué son las 'cookies' y cómo afectan a nuestra privacidad?

Alejandro Tarriño (Experto en ciberseguridad - BBVA)

Las 'cookies' permiten que los sitios web almacenen y recuperen información sobre los hábitos de navegación de un usuario o su dispositivo. Dependiendo de la información que contengan, pueden utilizarse para identificar al usuario. Por esta razón, es importante conocer qué implica aceptar las políticas de ‘cookies’ y cómo se regula el tratamiento de los datos personales.

Una ‘cookie’ es un fichero que se descarga en el dispositivo del usuario al acceder a determinadas páginas web que, gracias a estos ficheros, son capaces de recuperar la actividad previa del navegador, permitiendo tanto mantener iniciada la sesión del usuario en el sitio web, como almacenar y recuperar información sobre los hábitos de navegación de ese usuario o dispositivo. Aunque no todas las 'cookies' son abusivas, en muchas ocasiones el objetivo es mostrar publicidad personalizada según estos hábitos de navegación. Sin embargo, hay que tener en cuenta que dependiendo de la información que contengan las ‘cookies’, podrían utilizarse para reconocer al usuario.

Por este motivo, el pasado 2 de mayo de 2020, el Comité Europeo de Protección de Datos actualizó las directrices sobre consentimiento existentes en el reglamento GDPR (General Data Protection Regulation) obligando a los distintos servicios en internet a actualizar sus notificaciones y gestión de consentimientos, en España, antes del 31 de octubre de 2020. Como consecuencia, los usuarios han visto cómo ha cambiado la forma en la que se les muestran las notificaciones relacionadas con las políticas de 'cookies' en los sitios web por los que navegan, que actualmente solicitan su aceptación y lectura.

La ley de 'cookies'

La Directiva de privacidad y comunicaciones electrónicas —más conocida como ley de ‘cookies’—, y la Ley 34/2002, que refleja la Directiva europea en España, aplican entre otras cosas a las 'cookies', y la normativa de protección de datos personales aplica cuando las ‘cookies’ permiten identificar o singularizar a un usuario de internet.

Ambas normativas sobre 'cookies' establecen una diferencia entre las que son técnicamente necesarias y las que no lo son. Por tanto, las ‘cookies’ técnicamente necesarias —como por ejemplo las cookies de sesión— pueden guardarse sin previa autorización; mientras que para establecer las ‘cookies’ técnicamente no necesarias —como pueden ser las de seguimiento o análisis, que en determinadas circunstancias pueden implicar el procesamiento de datos personales— es necesario el consentimiento previo del usuario.

Los requisitos que deben cumplir las diferentes implementaciones que permiten a las páginas recoger 'cookies' técnicamente no necesarias son:

  1. Se debe obtener el consentimiento previo y explícito antes de cualquier activación de estas 'cookies'.
  2. Los consentimientos deben ser granulares, es decir, los usuarios deben poder activar algunas 'cookies' en lugar de otras y no deben estar obligados a dar su consentimiento para todas o ninguna.
  3. El usuario debe dar su consentimiento libremente, es decir, sin estar forzado.
  4. Los consentimientos deben retirarse con la misma facilidad que se otorgan.
  5. Los consentimientos deben almacenarse de forma segura como documentación legal.
  6. El consentimiento debe renovarse al menos cada 2 años.

¿Qué hacer ante la duda?

A pesar de que estas normas son comunes para todas las webs, las implementaciones de las páginas varían y en algunos casos generan controversia y confusión para el usuario.

Para resolver este problema, la Agencia Española de Protección de Datos (AEPD), cuenta con una guía que permite aclarar las dudas sobre los diferentes tipos de ‘cookies’ y asegurar su uso cumpliendo con el reglamento.

Un ejemplo de lo que se puede encontrar dentro de esta guía, es la explicación de cómo se debe mostrar la información relativa a las 'cookies' para que sea completa, a lo que responde que:

  • La información o la comunicación debe ser concisa, transparente e inteligible.
  • Se ha de utilizar un lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje.
  • La información ha de ser de fácil acceso.

¿Y si no estoy de acuerdo con los términos planteados?

En el caso de no estar de acuerdo con los términos del tratamiento que plantea la web, el usuario se puede negar a aceptar las 'cookies'. Y en el supuesto de que detecte una irregularidad de carácter grave, puede informar a través de  los diferentes canales que ofrece la AEPD.

Gracias a GDPR, los datos de los ciudadanos europeos están mucho más protegidos, sin embargo, es importante recordar que antes de compartir cualquier información, hay que valorar si tiene sentido la cantidad de información solicitada.

Otras historias interesantes