La LSSI no las nombra directamente, pero en España, las cookies están reguladas por esta ley (a falta de que se apruebe en algún momento el reglamento ePrivacy europeo), complementada por el RGPD, así como por la última versión publicada de la guía de cookies de la AEPD, dado que las cookies recaban datos personales de los usuarios. En este artículo repasamos los aspectos principales de la LSSI y las cookies, cómo se regula su uso y qué consecuencias tiene no cumplir esta ley.
En este artículo hablamos de:
Si buscas las palabras «cookie» o «cookies» en la LSSI (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico), no vas a encontrar una sola mención a estas. Sin embargo, cómo decíamos en la introducción, la que regula las cookies en España es la LSSI, en concreto, lo hace el artículo 22.2, que literalmente nos dice:
«Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos […]».
Las cookies estarían dentro de la acepción «dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios». No se trata ni de una traducción ni de una interpretación del legislador español sobre lo que son las cookies, sino que está utilizando un término amplio y genérico, que incluye lo que son precisamente las cookies, pero también deja la puerta abierta para otro tipo de dispositivos o técnicas que desempeñen la misma función en el futuro.
Por lo tanto, la LSSI regula tanto la instalación de las cookies en el terminal de los usuarios que visitan la página web o emplean una aplicación (hay apps que también emplean cookies), como el uso que se puede hacer de esas cookies.
Es decir, respecto al uso de cookies y su adecuación a la LSSI, esta establece cuándo y bajo qué condiciones es lícito la instalación de cookies en el ordenador, móvil, tablet o cualquier otro dispositivo (por ejemplo, una Smart TV) del usuario. Para ello, la LSSI establece dos obligaciones: el deber de informar y el consentimiento del usuario.
Así mismo, también debemos tener en cuenta las directrices de la AEPD sobre las cookies, ya que a través de su Guía sobre el uso cookies (actualizada en diferentes ocasiones) se explican y aclaran estas obligaciones en mayor profundidad.
Deber de informar
El deber de informar implica que el titular de la página web o aplicación debe informar de forma concisa y en un lenguaje comprensible sobre el uso que hace la web o app de las cookies, qué tipo de cookies se utilizan, qué cookies se emplean (su nombre), su duración, su finalidad y quién es su titular en el caso de cookies de terceros.
Para ello, y aplicando la normativa de protección de datos y las directrices de la guía de cookies de la AEPD 2023, la información sobre las cookies puede suministrarse a través de dos capas informativas; una primera capa con la información básica y un enlace que conduzca a la segunda capa, la política de cookies, en la que se detallará toda esa información que hemos citado en el párrafo anterior.
Además, y cómo vamos a ver en el siguiente punto, la primera capa informativa será también el medio a través del cual se pueda recabar el consentimiento explícito de los usuarios para el empleo de las cookies.
Obtención del consentimiento explícito
Respecto al consentimiento explícito, la LSSI nos remite a la LOPD, que indica que este consentimiento debe ser libre, inequívoco, específico e informado. En lo que respecta a las cookies, esto implica que no podrán usarse hasta que el usuario las acepte, y que en ningún caso la no aceptación de las cookies debería limitar el acceso a la página web o la app (con la excepción de las cookies técnicas).
Para poder recabar el consentimiento explícito para el uso de cookies, actualmente, y siguiendo la guía de cookies de la AEPD y la propia ley de cookies, se emplea el aviso de cookies o el banner de cookies; ese pop-up o banner que aparece cuando entramos por primera vez a una web o cuando hemos borrado las cookies del navegador, que nos informa escuetamente sobre el uso de cookies en la web, nos facilita un enlace a la política de cookies y, dependiendo del tipo de banner y de cómo esté configurado, nos permite aceptar todas las cookies, rechazar todas las cookies o configurar cada cookie o grupo de cookies de forma individual.
El aviso o banner de cookies, además, debe cumplir una segunda función, y es la de bloquear la descarga de cookies en el navegador del usuario hasta que este las acepte (además de recordar su configuración).
No cumplir con las obligaciones respecto a las cookies de la LSSI, es motivo de sanción, puesto que supone una infracción leve de la ley, sancionada con una multa de hasta 30.000 euros. Estas infracciones se refieren tanto a no cumplir con el deber de informar (por ejemplo, al no tener una política de cookies) como a no recabar el consentimiento explícito para su uso (por ejemplo, al permitir que las cookies se instalen en el navegador de los usuarios antes de que estos las acepten).
El organismo ante el que presentar denuncias cuando se vulnera la LSSI respecto al uso de cookies, es la AEPD (Agencia Española de Protección de Datos). Cuando se presenta una denuncia por vulneración de la LSSI en el uso de cookies, la AEPD procederá a investigar el sitio y si confirma la vulneración, enviará un apercibimiento al titular para que subsane los problemas, es decir, tome las medidas oportunas para cumplir con la ley. De no hacerlo en el plazo dado por la Agencia, se abrirá un procedimiento sancionador contra el titular del sitio.
La cuantía de la sanción se determina en base a la intencionalidad de los hechos, el tiempo que haya durado la infracción, los beneficios que se hayan podido obtener o la reincidencia.
Si quieres evitar esas posibles denuncias y sanciones, puedes asegurarte de que tu página web cumple con todas las obligaciones de la LSSI, incluidas las relativas al uso de cookies, realizando una auditoría LSSI externa, a través de una consultoría especializada en la aplicación y adecuación de la LOPD y LSSI.
Cookies excluidas de cumplir las obligaciones de la LSSI
No todas las cookies que se instalan en el terminal del usuario están sujetas a las obligaciones de la LSSI, en concreto, las denominadas cookies técnicas o esenciales no requieren del consentimiento explícito del usuario para su instalación.
Se entiende por cookies técnicas o esenciales aquellas que sirven para que la página web o aplicación puedan mostrar su contenido de forma adecuada y permitir una mejor experiencia de navegación (por ejemplo, son las cookies que nos permiten mantenernos conectados en la cuenta de una red social o las que recuerdan nuestro carrito de la compra en un e-commerce).
Finalmente, no queremos cerrar este artículo sin señalar que la denominada ley de cookies y la LSSI no son lo mismo, aunque a veces se confundan. La ley de cookies es en realidad la Directiva 2002/58/CE, del Parlamento Europeo, o Directiva ePrivacy, modificada y actualizada en 2009 por la Directiva 2009/136/CE y a la espera, todavía, de que se apruebe y entre en vigor el Reglamento ePrivacy (cuya propuesta data de 2019, pero que sigue estancado).
En definitiva, cumplir la LSSI respecto a las cookies implica informar detalladamente sobre ellas y recabar siempre el consentimiento explícito para su instalación y uso.
Si tienes dudas respecto a la aplicación de la LSSI y las cookies o cómo redactar la política de cookies, Grupo Atico34 puede ayudarte gracias a su plataforma online para la gestión de la protección de datos. No dudes en ponerte en contacto con nosotros para pedir más información.