La LSSI no las nombra directamente, pero en España, las cookies están reguladas por esta ley (a falta de que se apruebe en algún momento el reglamento ePrivacy europeo), complementada por el RGPD, dado que las cookies recaban datos personales de los usuarios. En este artículo repasamos los aspectos principales de la LSSI sobre las cookies.
En este artículo hablamos de:
Si buscas las palabras «cookie» o «cookies» en la LSSI (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico), no vas a encontrar una sola mención a estas. Sin embargo, cómo decíamos en la introducción, la que regula las cookies en España es la LSSI. ¿Y dónde aparecen entonces las cookies?
En el artículo 22.2, que literalmente nos dice:
«Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos […]».
Las cookies estarían dentro de la acepción «dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios». No se trata ni de una traducción ni de una interpretación del legislador español sobre lo que son las cookies, sino que está utilizando un término amplio y genérico, que incluye lo que son precisamente las cookies, pero también deja la puerta abierta para otro tipo de dispositivos o técnicas que desempeñen la misma función en el futuro.
Recordamos aquí que las cookies son pequeños archivos de código que se instalan en los navegadores de los usuarios al visitar una web y que sirven para recoger diferentes tipos de datos.
El artículo 22.2 también establece la obligación de informar los usuarios de la finalidad de las cookies y la necesidad de recabar el consentimiento explícito de estos para su uso (de hecho, la ley cita que respecto al deber de informar y el consentimiento, debe seguirse lo dispuesto en la LOPD, pero sobre esto profundizaremos más adelante).
Dado que hemos dicho que la LSSI regula el uso de cookies en España, es posible pensar que la denominada ley de cookies y la LSSI son lo mismo, pero esta idea es errónea.
La ley de cookies es en realidad la Directiva 2002/58/CE, del Parlamento Europeo, o Directiva ePrivacy, modificada y actualizada en 2009 por la Directiva 2009/136/CE y a la espera, todavía, de que se apruebe y entre en vigor el Reglamento ePrivacy (cuya propuesta data de 2019, pero que sigue estancado).
La LSSI regula tanto la instalación de las cookies en el terminal de los usuarios que visitan la página web o emplean una aplicación (hay apps que también emplean cookies), como el uso que se puede hacer de esas cookies.
Es decir, respecto al uso de cookies y su adecuación a la LSSI, esta establece cuándo y bajo qué condiciones es lícito la instalación de cookies en el ordenador, móvil, tablet o cualquier otro dispositivo (por ejemplo, una Smart TV) del usuario. Para ello, la LSSI establece dos obligaciones: el deber de informar y el consentimiento del usuario.
Deber de informar
El deber de informar implica que el titular de la página web o aplicación debe informar de forma concisa y en un lenguaje comprensible sobre el uso que hace la web o app de las cookies, qué tipo de cookies se utilizan, qué cookies se emplean (su nombre), su duración, su finalidad y quién es su titular en el caso de cookies de terceros.
Para ello, y aplicando la normativa de protección de datos y las directrices dadas por la AEPD en su última Guía sobre el uso de cookies, la información sobre las cookies puede suministrarse a través de dos capas informativas; una primera capa con la información básica y un enlace que conduzca a la segunda capa, la política de cookies, en la que se detallará toda esa información que hemos citado en el párrafo anterior.
Además, y cómo vamos a ver en el siguiente punto, la primera capa informativa será también el medio a través del cual se pueda recabar el consentimiento explícito de los usuarios para el empleo de las cookies.
Consentimiento explícito
Respecto al consentimiento explícito, la LSSI nos remite a la LOPD, que indica que este consentimiento debe ser libre, inequívoco, específico e informado. En lo que respecta a las cookies, esto implica que no podrán usarse hasta que el usuario las acepte, y que en ningún caso la no aceptación de las cookies debería limitar el acceso a la página web o la app (con la excepción de las cookies técnicas).
Para poder recabar el consentimiento explícito para el uso de cookies, actualmente, y siguiendo las directrices de la AEPD y de la ley de cookies, se emplea el aviso de cookies o el banner de cookies; ese pop-up o banner que aparece cuando entramos por primera vez a una web o cuando hemos borrado las cookies del navegador, que nos informa escuetamente sobre el uso de cookies en la web, nos facilita un enlace a la política de cookies y, dependiendo del tipo de banner y de cómo esté configurado, nos permite aceptar todas las cookies, rechazar todas las cookies o configurar cada cookie o grupo de cookies de forma individual.
El aviso o banner de cookies, además, debe cumplir una segunda función, y es la de bloquear la descarga de cookies en el navegador del usuario hasta que este las acepte (además de recordar su configuración).
Cookies excluidas de cumplir las obligaciones de la LSSI
No todas las cookies que se instalan en el terminal del usuario están sujetas a las obligaciones de la LSSI, en concreto, las denominadas cookies técnicas o esenciales no requieren del consentimiento explícito del usuario para su instalación.
Se entiende por cookies técnicas o esenciales aquellas que sirven para que la página web o aplicación puedan mostrar su contenido de forma adecuada y permitir una mejor experiencia de navegación (por ejemplo, son las cookies que nos permiten mantenernos conectados en la cuenta de una red social o las que recuerdan nuestro carrito de la compra en un e-commerce).
No cumplir con las obligaciones respecto a las cookies de la LSSI, es motivo de sanción, puesto que supone una infracción leve de la ley, sancionada con una multa de hasta 30.000 euros.
La cuantía de la sanción se determina en base a la intencionalidad de los hechos, el tiempo que haya durado la infracción, los beneficios que se hayan podido obtenido o la reincidencia.
El organismo sancionador, y a quien se deben presentar las denuncias cuando se vulnera la LSSI respecto al uso de cookies, es la AEPD (Agencia Española de Protección de Datos).
Si quieres evitar esas posibles denuncias y sanciones, puedes asegurarte de que tu página web cumple con todas las obligaciones de la LSSI, incluidas las relativas al uso de cookies, realizando una auditoría LSSI externa, a través de una consultoría especializada en la aplicación y adecuación de la LOPD y LSSI.
Finalmente, cerramos este artículo señalando la estrecha relación que existe entre LSSI, RGPD y cookies, puesto que, cómo decíamos más arriba, las cookies suponen un tratamiento de datos personales, por lo que es de aplicación el RGPD, razón por la cual, la LSSI remite a la normativa de protección datos respecto al deber de informar y el consentimiento explícito.
Con la entrada en vigor en 2018 del RGPD, esas obligaciones se vieron ampliadas; desde entonces ya no basta con un texto más o menos genérico sobre el uso de cookies, sino que se debe informar en detalle sobre cada cookie empleada en la página web o aplicación y el usuario debe dar su consentimiento individual para cada una de las cookies que se usan (se permite agruparlas cuando comparten la misma finalidad), esto ha hecho que los avisos de cookies que no cuentan con la opción de configurar las cookies (o al menos un enlace a ello), sean insuficientes y, por tanto, puedan suponer una infracción de la normativa.
En definitiva, cumplir la LSSI respecto a las cookies implica informar detalladamente sobre ellas y recabar siempre el consentimiento explícito para su instalación y uso.
Si tienes dudas respecto a la aplicación de la LSSI, las cookies o cómo redactar la política de cookies, Grupo Atico34 puede ayudarte gracias a su plataforma online para la gestión de la protección de datos. No dudes en ponerte en contacto con nosotros para pedir más información.