GUIA SOBRE EL USO DE COOKIES
La presente información basada en la última actualización de la GUIA SOBRE EL USO
DE COOKIES https://www.aepd.es/documento/guia-cookies.pdf publicada por la Agencia
Española de Protección de Datos según las nuevas directrices del Comité Europeo de Protección
de Datos, esta dirigida a informar a nuestros clientes sobre cómo cumplir las obligaciones previstas
en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y
de comercio electrónico (en adelante, LSSICE), en relación con el Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos (en
adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía
de los derechos digitales (en adelante, LOPDGDD), con respecto a lo que se conoce comúnmente
como Cookies.
INTRODUCCION
Ley de Servicios de la Sociedad de la Información y Comercio electrónico LSSICE
34/2002 de 11 de Julio, como norma específica que regula las Cookies, en adelante LSSICE
establece en su artículo 22.2 que se podrán utilizar cookies o dispositivos de almacenamiento y
recuperación de información similares en los equipos de los destinatarios a condición de que estos
hayan dado su consentimiento después de que se les haya informado adecuadamente sobre sus
finalidades de acuerdo con la normativa sobre protección de datos.
No obstante, será posible el almacenamiento o acceso de Cookies Técnicas o necesarias
sin necesidad de obtener consentimiento por parte de los destinatarios (visitantes de página web)
solo en caso de que sean usadas con el fin de:
Transmisión de una comunicación por una red de comunicaciones electrónicas
O si son estrictamente necesarias para la prestación de un servicio de la sociedad
de la información expresamente solicitado por el destinatario.
En este sentido se ha venido interpretando que estarían exceptuadas aquellas cookies
que tienen por finalidad:
Cookies de “entrada del usuario” Las cookies de sesión y de entrada de usuario se suelen
utilizar para rastrear las acciones del usuario al rellenar los formularios en línea en varias
páginas, o como cesta de la compra para hacer el seguimiento de los artículos que el usuario
ha seleccionado al pulsar un botón.
Cookies de autenticación o identificación de usuario.
Cookies de seguridad del usuario, Por ejemplo, las cookies utilizados para detectar intentos
erróneos y reiterados de conexión a un sitio web.
Cookies de sesión de reproductor multimedia.
Cookies de sesión para equilibrar la carga.
Cookies de personalización de la interfaz de usuario.
Cookies de complemento (plug-in) para intercambiar contenidos sociales
2
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
Puede entenderse que estas cookies quedan excluidas del ámbito de aplicación del
artículo 22.2 de la LSSICE y, por lo tanto, no sería necesario informar ni obtener el
consentimiento sobre su uso.
Por el contrario, será necesario informar y obtener el consentimiento para la instalación
y utilización de cualesquiera otros tipos de cookies, sean propias o de terceros, de sesión o
persistentes, quedando sometidas al ámbito de aplicación del artículo 22.2 de la LSSI y, sobre las
que serán útiles las orientaciones de esta información.
Cookies de análisis o analíticas. Son aquéllas que permiten al responsable de las mismas,
el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que
están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la
medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de
perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin
de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del
servicio.
Cookies publicitarias. Son aquéllas que permiten la gestión, de la forma más eficaz posible,
de los espacios publicitarios que, en su caso, el editor haya incluido en una página web,
aplicación o plataforma desde la que presta el servicio solicitado en base a criterios como el
contenido editado o la frecuencia en la que se muestran los anuncios.
Cookies de publicidad comportamental. Estas cookies almacenan información del
comportamiento de los usuarios obtenida a través de la observación continuada de sus
hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad
en función del mismo.
OBLIGACIONES
El artículo 22.2 de la LSSICE establece 2 obligaciones
La obligación de transparencia y
La obligación de obtención del consentimiento.
Para dar cumplimiento a las citadas obligaciones, se recomienda llevar a cabo una revisión
de las cookies que se utilizan, bien internamente, bien con el asesoramiento de entidades
especializadas. Esta revisión tendrá como objetivo identificar las cookies que se están utilizando,
analizando si son cookies propias o de terceros, de sesión o persistentes, y concretando su función
para poder decidir si las mismas se encuentran o no en el ámbito de aplicación del artículo 22.2. LSSI
Teniendo en cuenta los posibles cambios que se pueden producir en la gestión y uso de las
cookies, es recomendable realizar periódicamente esta revisión a fin de actualizar la
información disponible sobre estas.
En todo caso, se recuerda la conveniencia de que las soluciones que se implementen para
dar cumplimiento a las obligaciones del art. 22.2 de la LSSI deben ser soluciones que la mayoría de
navegadores reconozcan.
3
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
2.1 TRANSPARENCIA
2.1.1 ¿QUÉ INFORMACIÓN DEBE FACILITARSE?
El artículo 22. 2 de la LSSICE establece que se debe facilitar a los usuarios en el
momento de obtener el consentimiento una información clara y completa sobre la utilización
de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los
fines del tratamiento y usos que se harán de los datos.
En la política de cookies deberá incluirse la siguiente información :
Si la informacion se facilta por capas o por niveles que es lo mas recomendable, la siguiente
información se incluirá en la segunda capa, mientras que la primera capa recogerá la información
básica que se indica en el apartado 2.1.3.
AL FINAL DE ESTE DOCUMENTO EXISTE UN MODELO ORIENTATIVO DE COMO PUEDE SER
PRESENTADA ESTA INFORMACIÓN
a) Definición y función genérica de las cookies.
Hay que informar al usuario de manera general que son las cookies, asi como sus finalidades
y funciones.
b) Información sobre el tipo de cookies que se utilizan y su finalidad.
Hay que informar al usuario de manera específica de las cookies que usa la web, de su
finalidad, si son propias del titular de la web o son de terceros, asi como del tiempo de permanencia
en el terminal del usuario.
En el caso de que no fuera posible para el editor (titular de la web) ofrecer una explicación
suficiente sobre la finalidad de las cookies utilizadas por terceros o la forma de eliminarlas, puede
facilitar esta información incluyendo un enlace a la página web del tercero. Las plataformas de
gestión del consentimiento (consent magement platform o CMP) pueden ser una solución.
c) Identificación de quién utiliza las cookies,
Hay que Informar al usuario si la información obtenida por las cookies es tratada solo por el
editor o también por terceros con los que editor haya contratado la prestación de un servicio para el
cual se requiera el uso de cookies, con identificación de estos últimos.
No será necesario dar información directa sobre los terceros, sino que podrán utilizarse
mecanismos como botones que desplieguen esa información más específica o texto emergente que
aparezca al pasar el puntero del ratón por encima.
d) Información sobre la forma de aceptar, denegar o revocar el consentimiento para
el uso de cookies.
Si el sistema de gestión o configuración de las cookies del editor no permite evitar la
utilización de las cookies de terceros una vez aceptadas por el usuario, se facilitará información
sobre las herramientas proporcionadas por el navegador y los terceros y se deberá advertir que, si
4
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
el usuario acepta cookies de terceros y posteriormente desea eliminarlas, deberá hacerlo desde su
propio navegador o el sistema habilitado por los terceros para ello.
A estos efectos, se podrá facilitar adicionalmente la siguiente información: “Tenga en cuenta
que, si acepta las cookies de terceros, deberá eliminarlas desde las opciones del navegador
o desde el sistema ofrecido por el propio tercero”.
e) En su caso, información sobre las transferencias de datos a terceros países
realizadas por el editor.
En relación a esto, debe especificarse el artículo del RGPD que permite la transferencia,
identificar a los terceros países y proporcionar información sobre dónde y cómo se puede acceder
a la decisión de adecuación o a las garantías adecuadas o apropiadas, incluidas las normas
corporativas vinculantes, que, en su caso, permitan la transferencia. En ausencia de estas, se debe
informar al usuario del riesgo de realizar la transferencia sin nivel de adecuación o de garantías
apropiadas, si se pretende obtener su consentimiento explícito.
Respecto de las transferencias que, en su caso, realicen terceros, será válida la remisión a
la información que faciliten esos terceros.
f) Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con
efectos jurídicos para el usuario o que le afecten significativamente de modo similar, será
necesario que se informe sobre la lógica utilizada, así como la importancia y las
consecuencias previstas de dicho tratamiento para el usuario en los términos establecidos
en el artículo 13.2 del RGPD.
g) Periodo de conservación de los datos para los diferentes fines en los términos
establecidos en el artículo 13.2 a) del RGPD.
h) En relación con el resto de información exigida por el artículo 13 del RGPD que no se
refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados),
el editor podrá remitirse a la política de privacidad.
2.1.2 ¿CÓMO DEBE MOSTRARSE ESA INFORMACIÓN?
a) La información debe ser concisa, transparente e inteligible.
Se debe utilizar un lenguaje claro y sencillo de forma que pueda ser entendido por un
usuario medio.
b) Se ha de evitar el uso de frases que induzcan a confusión o desvirtúen la claridad
del mensaje.
No serían válidas frases como:
“usamos cookies para personalizar su contenido y crear una mejor experiencia para
usted” , “para mejorar su navegación” o “podemos utilizar sus datos personales para
ofrecer servicios personalizados” para referirse a cookies publicitarias comportamentales.
También deben evitarse términos como “puede”, “podría”, “algún”, “a menudo” y
“posible”.
5
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
c) La información ha de ser de fácil acceso.
El usuario no debe buscar la información, sino que debe ser facil acceder a ella, como
cuando se proporciona un enlace claramente visible que dirige directamente a la información como
“Política de Cookies” o “Cookies”.
En particular, es aconsejable que la información relativa a la forma a través de la cual
gestionar las cookies esté a su disposición de forma accesible y permanente en todo momento a
través de la página web, aplicación o servicio en línea de que se trate. A estos efectos, se
considerará que se cumple dicho requisito cuando el sistema de gestión de las cookies (panel de
configuración, CMP, etc.) esté integrado en la propia política de cookies o cuando se incluya en esta
política un enlace que lleve directamente al sistema de gestión.
2.1.3 INFORMACIÓN POR CAPAS
Se recomienda el uso de declaraciones o avisos de privacidad por niveles ( que contengan
la información en capas), de modo que se permita al usuario ir a aquellos aspectos de la declaración
o aviso que sean de mayor interés para él, evitando así la fatiga informativa, y ello sin perjuicio de
que la totalidad de la información se encuentre disponible en un único lugar o en un documento
completo al que se pueda acceder fácilmente si el interesado desea consultarlo en su totalidad.
Este sistema puede consistir en mostrar la información esencial en una primera capa,
cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una
página en la que se ofrezca información más detallada y específica sobre las cookies.
En la primera capa, que para mayor claridad podrá identificarse bajo un término de uso común
(como, por ejemplo, “Cookies”), se incluiría la siguiente información:
Identificación del editor responsable del sitio web. No será necesaria la denominación
social, siempre que sus datos identificativos completos figuren en otras secciones del sitio
web (aviso legal, política de privacidad, etc.).
Identificación de las finalidades de las cookies que se utilizarán. Analíticas, publicitarias
y elaboración de perfiles (si hubiera otras finalidades debería incluirse la información).
Información sobre si las cookies son propias (del responsable de la página web) o
también de terceros asociados a él, sin que sea necesario identificar a los terceros en
esta primera capa.
Información genérica sobre el tipo de datos que se van a recopilar y utilizar en caso
de que se elaboren perfiles de los usuarios (por ejemplo, cuando se utilicen cookies de
publicidad comportamental).
Modo en el que el usuario puede aceptar, configurar y rechazar la utilización de
cookies.
Un enlace claramente visible dirigido a una segunda capa informativa en la que se
incluya una información más detallada, utilizando, por ejemplo, el término “Política de
cookies” o “Más información, pulsa aquí”.
6
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
El panel de configuración de cookies podrá estar integrado en esta segunda capa,
siempre que, al facilitar acceso al mismo (por ejemplo, desde un botón o enlace incluido en la
primera capa), ese acceso sea directo, esto es, que el usuario no tenga que navegar dentro de esta
segunda capa para localizar el panel de configuración.
Esta información se facilitará antes del uso de las cookies, incluida, en su caso, su
instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta
que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.
En conexión con el punto 5 anterior de esta primera capa informativa, esta deberá contener:
a) Un botón o mecanismo equivalente, fácilmente visible, con las palabras “Aceptar
cookies”, “Aceptar”, “Consentir” o textos similares, para consentir el uso de todas las
cookies.
b) Un botón o mecanismo equivalente, similar al anterior (si se utiliza un botón para aceptar,
deberá utilizarse un botón para rechazar), con las palabras “Rechazar cookies”,
“Rechazar” o textos similares, para rechazar el uso de cookies (salvo aquellas que estén
exentas de la obligación de obtener un con- sentimiento informado).
c) Un botón o mecanismo equivalente, claramente visible, pero no necesariamente
similar a los anteriores, que despliegue o lleve a un panel de configuración que
permita aceptar o rechazar las cookies de forma granular, al menos en función de su
finalidad.
En todo caso, teniendo en cuenta el texto del aviso y los mecanismos empleados, la función
que cumple cada uno de estos mecanismos deberá ser evidente para el usuario. Además:
No se podrá dar al usuario la impresión de que tiene que aceptar obligatoriamente las
cookies para navegar por el sitio web.
No se podrá empujar claramente al usuario a aceptar las cookies.
El color o contraste del texto y los botones (o mecanismos equivalentes) no podrán ser
obviamente engañosos para los usuarios, de forma que lleven a un consentimiento
involuntario. No será válido, por ejemplo, que la opción para rechazar las cookies sea un
botón con un texto que no contrasta lo suficiente con el color del botón y, por lo tanto, no
pueda leerse.
A continuación, se facilitan dos ejemplos de primera capa informativa sobre un mismo
supuesto en el que se utilizan cookies propias y de terceros para fines de análisis y publicidad
comportamental( pero esta información dependerá del tipo de cookies utilizadas en la pagina
web) :
7
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
Ejemplo 1
Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad
relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación
(por ejemplo, páginas visitadas). Puedes obtener más información en Política de Cookies
Ejemplo 2
Utilizamos cookies propias y de terceros para analizar el uso del sitio web y mostrarte publicidad
relacionada con tus preferencias sobre la base de un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Más información. ¿Aceptas las cookies?
Como puede observarse, en estos ejemplos se ofrece información sobre el uso por el editor
y por terceros de cookies analíticas y de publicidad comportamental, y se obtiene el consentimiento
explícito de los usuarios que acepten el uso de cookies haciendo clic en el botón.
Si no se pulsa el botón “Aceptar Cookies”, el usuario no está autorizando el uso de
cookies (por lo tanto, no está legitimado el uso de cookies si el usuario no pulsa el botón para
aceptar cookies y simplemente continúa navegando).
El botón o mecanismo para configurar las cookies, esto es, administrar las preferencias del
usuario, debe llevar a este directamente al panel de configuración, que deberá seguir siendo
accesible de forma permanente. Como se ha indicado anteriormente, el panel podrá integrarse en
la segunda capa informativa.
En el panel de configuración debe indicarse o desprenderse claramente cómo guardar la
selección realizada por el usuario. A estos efectos, sería válido por ejemplo un botón con el texto
“Guardar selección”, “Guardar configuración” o textos similares.
Para facilitar la selección, en el panel podrán además implementarse dos botones, uno
para seleccionar todas las categorías de cookies y otro para rechazarlas todas si el usuario
las ha seleccionado previamente, siendo esta opción recomendable cuanto mayor sea el número
distinto de categorías en las que se hayan clasificado las cookies. Si el usuario guarda su elección
sin haber seleccionado ninguna cookie, equivaldrá al rechazo de todas las cookies.
Debe recordarse que en ningún caso son admisibles las opciones premarcadas a favor de
aceptar cookies para obtener un consentimiento válido.
ACEPTAR
COOKIES
RECHAZAR
COOKIES
CONFIGURAR
SI NO
8
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
Respecto del panel de configuración, el grado de granularidad a la hora de mostrar la
selección de cookies deberá valorarlo el editor del sitio web, si bien es aconsejable que se tengan
en cuenta las siguientes reglas:
Las cookies deberían agruparse al menos por su finalidad, de forma que el usuario
pueda aceptar las cookies para una o más finalidades y, en cambio, no para otra u otras (por
ejemplo, el usuario podría elegir aceptar las cookies analíticas y no así las publicitarias
comportamentales).
Dentro de cada finalidad, y a elección del editor del sitio web, las cookies podrían
agruparse también en función del tercero responsable de las mismas (por ejemplo, el
usuario podría elegir aceptar las cookies analíticas de un determinado tercero y no así las
de otro).
En relación con las cookies de terceros es suficiente con identificar a estos por su
nombre o por la marca con la que se identifican de cara al público, sin incluir la
denominación social completa.
Debe evitarse el grado máximo de detalle (selección cookie a cookie, incluso dentro de
la misma finalidad), ya que el exceso de información dificulta la toma de decisiones.
AL FINAL DE ESTE DOCUMENTO EXISTE UN MODELO ORIENTATIVO DE COMO PUEDE SER
PRESENTADA ESTA INFORMACIÓN
2.1.4 OTRAS FORMAS DE MOSTRAR LA INFORMACIÓN
Aparte de la posibilidad de informar por capas, existen otras formas comunes de facilitar la
información sobre cookies. Por ejemplo:
El suministro de la información a través de un aviso suficientemente visible.
Al solicitar el alta en un servicio, o antes de descargar un servicio o una aplicación, podrá
suministrarse esta información junto con la política de privacidad, o con los términos y
condiciones de uso del servicio, siempre que exista un enlace o acceso directo a la sección
relativa a cookies dentro del correspondiente documento.
2.2 CONSENTIMIENTO
2.2.1 EL CONSENTIMIENTO COMO BASE PARA EL CUMPLIMIENTO DE LA
NORMATIVA
Para la utilización de las cookies no exceptuadas será necesario en todo caso obtener
el consentimiento del usuario.
Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en
un apartado que indique “consiento”, “acepto”, u otros términos similares.
También podrá obtenerse infiriéndolo de una inequívoca acción realizada por el usuario, en
un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades
de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa
entender que el usuario acepta que se instalen cookies.
9
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
En ningún caso la mera inactividad del usuario implica la prestación del
consentimiento por sí misma.
Para que dicho consentimiento sea válido será necesario que el consentimiento haya sido
otorgado de forma libre e informada.
Seguir navegando no es una forma válida de prestar el con sentimiento.
2.2.2 QUIÉN DEBE PRESTAR EL CONSENTIMIENTO
De conformidad con el artículo 22.2 de la LSSICE el consentimiento debe ser prestado por
los “destinatarios” de los servicios de la sociedad de la información.
Por destinatario debe entenderse “la persona física o jurídica que utiliza, sea o no por
motivos profesionales, un servicio de la sociedad de la información” que coincide con el de
usuario
2.2.3 MODALIDADES DE OBTENCIÓN DEL CONSENTIMIENTO
Con independencia de la modalidad de obtención del consentimiento, la opción de rechazar
las cookies deberá ofrecerse al usuario al mismo tiempo, al mismo nivel y con la misma visibilidad
que la de aceptarlas, sin remitirle a otra capa o lugar diferente para realizar esa acción.
Caben, entre otros, los siguientes mecanismos de obtención del consentimiento:
a) Al solicitar el alta en un servicio
Es posible solicitar el consentimiento para el uso de cookies cuando el usuario solicita el alta
en un servicio, siempre que este consentimiento esté separado y no se agrupe con la aceptación
de los términos y condiciones de uso de la página web, de su política de privacidad o de las
condiciones generales del servicio..
b) Durante el proceso de configuración del funcionamiento de la página web o
aplicación. como el idioma, el tipo de letra, el color de fondo de pantalla, etc.
c) A través de paneles de configuración de cookies
d) Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido,
por ejemplo, en la página web.
En tales casos, si las cookies que se pretenden utilizar no son necesarias para el
funcionamiento del servicio o de la aplicación, se debe permitir a los usuarios dar su consentimiento
antes de la descarga del servicio o de la aplicación.
e) A través del formato de información por capas.
En el formato de información por capas que antes indicábamos, la primera capa, que contiene
la información esencial, debe incluir también la petición del consentimiento para la utilización de las
cookies.
En estos casos, el usuario manifiesta si acepta o no la utilización de las cookies al realizar la
clara acción afirmativa o la acción para rechazarlas de las que ha sido adecuadamente informado,
y también es informado, de modo permanente, en la segunda capa sobre la utilización de las cookies
y el modo de configurarlas y/o rechazarlas.
10
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
f) A través de la configuración del navegador.
Para que esta opción sea válida, la configuración del navegador debería poder utilizarse de
forma que permita que los usuarios manifiesten su conformidad con la utilización de las cookies
según lo dispuesto en el RGPD y teniendo en cuenta que el consentimiento debería ser separado
para cada uno de los fines previstos y la información que se facilita debería identificar a los
responsables del tratamiento.
En dichos términos, la configuración del navegador sería una opción válida para obtener el
consentimiento, pero no serviría como mecanismo único para que el usuario pueda denegar o
revocar el consentimiento para el uso de cookies. El editor debe ofrecer al usuario, en todo caso,
una fórmula para que pueda denegar o revocar el consentimiento prestado para el uso de cookies,
a través de su propia página web.
2.2.4 CONSENTIMIENTO DE MENORES DE 14 AÑOS
Asimismo, en el caso de sitios web o servicios en línea específicamente dirigidos a menores,
es conveniente recordar la necesidad de adoptar cautelas adicionales como son una mayor sencillez
y claridad del lenguaje empleado.
Dada la particularidad de estas situaciones, se recomienda ver la informacion e indicaciones que se
encuentran en la GUIA SOBRE EL USO DE COOKIES
https://www.aepd.es/documento/guia-cookies.pdf
2.2.5 CUÁNDO PUEDEN UTILIZARSE Y, EN SU CASO, INSTALARSE LAS COOKIES
La utilización de la cookie podrá tener lugar cuando el usuario disponga de la
información preceptiva sobre las cookies y la forma de obtención del consentimiento y el
mismo se preste de acuerdo con los procedimientos indicados.
2.2.6 OBTENCIÓN DEL CONSENTIMIENTO PARA EL USO DE COOKIES CUANDO UN
EDITOR PRESTA SERVICIOS A TRAVÉS DE DIFERENTES PÁGINAS
Un mismo editor que presta diferentes servicios a través de diferentes dominios podrá, a
través de una sola página web, informar y obtener el consentimiento para la utilización de las cookies
que se envíen desde el resto de dominios que sean de su titularidad y ofrezcan contenidos o tengan
características similares, siempre que se informe, además de lo señalado anteriormente en el
apartado sobre la información, sobre cuáles son las páginas web o dominios de su titularidad desde
los que se van a enviar las cookies, el tipo de cookies y las finalidades para la que se tratan y se
recaba el consentimiento del usuario.
2.2.7 CAMBIOS EN EL USO DE LAS COOKIES
Como regla general, siempre que un consentimiento haya sido obtenido de forma válida, no
será necesario obtenerlo cada vez que un usuario visite de nuevo la misma página web desde la
que se presta el servicio.
En todo caso, es evidente que si los fines de uso de las cookies o los terceros que hacen
uso de las cookies cambian después de haber obtenido el consentimiento, será necesario
actualizar la política de cookies y permitir a los usuarios tomar una nueva decisión.
11
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
2.2.8 ACTUALIZACIÓN DEL CONSENTIMIENTO
La AEPD considera buena práctica que la validez del consentimiento prestado por un usuario
para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante
este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le
solicite un nuevo consentimiento cada vez que visite la página en cuestión.
2.2.9 RETIRADA DEL CONSENTIMIENTO PARA EL USO DE COOKIES
Los usuarios deberán poder retirar el consentimiento previamente otorgado en
cualquier momento. A tal fin, el editor deberá asegurarse de que facilita información a los usuarios
en su política de cookies sobre cómo pueden retirar el consentimiento y eliminar las cookies.
El usuario debe poder revocar el consentimiento de forma fácil. Se considerará que esa
facilidad existe, por ejemplo, cuando el usuario tenga acceso sencillo y permanente al sistema de
gestión o configuración de las cookies.
2.2.10 POSIBILIDAD DE DENEGACIÓN DE ACCESO AL SERVICIO EN CASO DE
RECHAZO A LAS COOKIES
Podrán existir determinados supuestos en los que la no aceptación de la utilización de
cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se
informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente
gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies. Los servicios de ambas
alternativas deberán ser equivalentes, y además no será válido que el servicio equivalente lo ofrezca
una entidad ajena al editor.
RESPONSABILIDAD DE LAS PARTES EN LA UTILIZACIÓN DE COOKIES
La LSSICE no define quién es el responsable de cumplir con la obligación de facilitar
información sobre las cookies y obtener el consentimiento para su uso.
Se hace necesario que los sujetos que participan en la utilización de las cookies colaboren
para asegurar el cumplimiento de las exigencias legales establecidas.
Básicamente en la gestión de las cookies y en el tratamiento de los datos obtenidos se
distinguen las dos situaciones que se describen a continuación en función de la finalidad para la
que se tratan los datos que se obtienen a través de la utilización de las cookies.
3.1 EL EDITOR O LOS TERCEROS UTILIZAN LAS COOKIES PARA FINALIDADES
EXCEPTUADAS DE LAS OBLIGACIONES DE INFORMAR Y DE OBTENER EL
CONSENTIMIENTO
En aquellos casos en que todas las cookies utilizadas en la página web se utilizan
exclusivamente para las finalidades respecto de las que no es necesario obtener el consentimiento
enumeradas más arriba, tanto si son propias como de terceros, no será necesario que informe de
su utilización ni que obtenga el consentimiento.
12
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
3.2 EL EDITOR O LOS TERCEROS UTILIZAN LAS COOKIES PARA FINALIDADES
NO EXCEPTUADAS DE LAS OBLIGACIONES DE INFORMAR Y DE OBTENER EL
CONSENTIMIENTO
En este supuesto se puede diferenciar si se usan cookies propias o de terceros.
En los casos en que el editor utilice cookies no exceptuadas, será necesario que informe
sobre las finalidades para las se tratarán los datos y obtenga el consentimiento del usuario, a través
de alguna de las formas establecidas en la presente información.
Asimismo, cuando se empleen cookies de terceros no exceptuadas, tanto el editor como las
otras entidades intervinientes en la gestión de las cookies tendrán la responsabilidad de garantizar
que los usuarios están claramente informados acerca de las cookies y de las finalidades para las
se utilizarán y de obtener el preceptivo consentimiento.
En este sentido, cuando el editor emplee una CMP que cree un entorno en el que los terceros
que participan en el mismo puedan cumplir los deberes de información y obtención del
consentimiento, los terceros serán individual y directamente responsables de su cumplimiento.
Generalmente, las cookies de terceros almacenan información en el equipo terminal del
usuario o utilizan dicha información porque el editor, a la hora de diseñar la página web, plataforma
o apli- cación, previó la posibilidad de incluir contenidos de terceros que las utilizan o porque emplea
sof- tware de terceros que las requieren.
Por ello, los editores, cuando no sean titulares de las cookies que se utilizan, deberán
asegurar que los interesados reciben la información necesaria y que están habilitados los
mecanismos que permitan su consentimiento, por ejemplo, a través de obligaciones o garantías
contractuales que obliguen al tercero titular de las cookies o a través de la instalación de plataformas
para la gestión del consentimiento.
Así, cuando la información sobre las cookies de terceros se ofrezca a través de un enlace a
la página web del tercero, el editor tendrá que asegurarse que los enlaces no estén rotos, siendo
obligación del tercero velar por que la información no sea obsoleta y que esta se ofrezca también
en castellano o en la lengua cooficial utilizada en el sitio web del editor.
El alcance de las obligaciones de información y obtención del consentimiento por parte del
editor respecto de las cookies de terceros se circunscribe a los tratamientos de los que es
responsable, incluida en su caso la responsabilidad conjunta en cuanto a que el usuario conozca y
consienta la utilización por terceros identificados de sus cookies y las finalidades del tratamiento de
datos asociado a ellas. Dichas obligaciones no se extienden, en cambio, a las fases ulteriores del
tratamiento en las que el editor no interviene, que serán responsabilidad exclusiva del tercero.
13
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
ANEXO:
EJEMPLO DE INFORMACION SOBRE COOKIES TANTO EN PRIMERA COMO SEGUNDA CAPA
Ejemplo PRIMERA CAPA
Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte
publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus
hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información en
Política de Cookies
Si no se pulsa el botón “Aceptar cookies”, el usuario no está autorizando el uso de cookies (por lo
tanto, no está legitimado el uso de cookies).
Si se pulsa el botón “Rechazar cookies”, se estarian rechazando todas la cookies que no sean
necesarias ( analiticas , publictarias , etc)
Si se pulsa el botón “Configurar” se abriria un panel de configuración en el que el usuario tendría
la opción de elegir que cookies acepta o no por categoria o por titularidad. Por defecto las cookies
que no son necesarias deben estar desmarcadas
Gestionar las preferencias de consentimiento
Cookies estrictamente necesarias Activas siempre
Cookies analiticas ☐ ☒
Cookies publicitarias ☐ ☒
Cookies de Marketing ☐ ☒
ACEPTAR
COOKIES
RECHAZAR
COOKIES
CONFIGURAR
RECHAZAR
TODAS
GUARDAR
CONFIGURACIÓN
ACEPTAR RECHAZAR
ACEPTAR
TODAS
14
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
Si se pulsa el enlace “Politica de Cookies” se abriria la segunda capa de información sobre
cookies en la que se ofrecera toda la información detallada
Ejemplo SEGUNDA CAPA
POLÍTICA DE COOKIES
En cumplimiento de la Ley la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la
Información y Comercio Electrónico la entidad “Nombre Entidad” titular de la web
www.midominio.com le informa que en este sitio web se usan Cookies y tecnologías similares
que almacenan y recuperan información cuando navegas, con distintas finalidades como, por
ejemplo, reconocerte como usuario, obtener información sobre tus hábitos de navegación, o
personalizar la forma en que se muestra el contenido.
A continuación encontrará información detallada sobre qué son las “Cookies”, qué tipología utiliza
este sitio web, cómo cambiar la configuración de sus cookies, y qué ocurre si se deshabilitan las
Cookies.
¿Qué son las cookies?
Este sitio web utiliza cookies y/o tecnologías similares que almacenan y recuperan información
cuando navegas.
Las cookies son pequeños archivos o dispositivos de datos, que se descargan en el equipo terminal
del usuario (ordenador personal, teléfono móvil, Tablet, etc.) a través del navegador que se utilice.
En general, estas tecnologías pueden servir para finalidades muy diversas, como, por ejemplo,
reconocerte como usuario, obtener información sobre tus hábitos de navegación, o personalizar la
forma en que se muestra el contenido. Los usos concretos que hacemos de estas tecnologías se
describen a continuación.
Una cookie es inofensiva, no contiene código malicioso o malintencionado (ej. virus, troyanos,
gusanos, etc.) que pueda dañar su terminal.
¿Qué tipos de cookies existen?
Las cookies pueden clasificarse en:
Según el TIEMPO que permanecen activadas en el equipo o terminal del usuario, estas pueden
ser:
Cookies de SESIÓN: Son un tipo de cookies diseñadas para recabar y almacenar datos
mientras el usuario accede a una página web. Son eliminadas al cerrar el navegador.
Cookies PERSISTENTES: Son las que permanecen en el equipo informático hasta una
fecha de expiración determinada.
Según la ENTIDAD que las gestione, estas pueden ser:
Cookies PROPIAS: Son aquellas gestionadas por nuestra entidad y que se envían a tu
equipo desde nuestros propios equipos o dominios.
Cookies de TERCEROS. Son aquellas gestionadas por terceros y que se envían a tu equipo
desde un equipo o dominio que no es gestionado por nuestra entidad, como, por ejemplo,
las usadas por redes sociales o por servicios o proveedores externos como Google.
15
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
Nota: En el caso de que las cookies sean servidas desde un equipo o dominio gestionado por el
propio editor, pero la información que se recoja mediante estas sea gestionada por un tercero, no
pueden ser consideradas como cookies propias si el tercero las utiliza para sus propias finalidades
(por ejemplo, la mejora de los servicios que presta o la prestación de servicios de carácter publicitario
a favor de otras entidades).
Según la FINALIDAD, estas pueden ser:
Cookies TECNICAS: Son aquéllas que permiten al usuario la navegación a través de una
página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios
que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos,
identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que
integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de
inscripción o participación en un evento, utilizar elementos de seguridad durante la
navegación, almacenar contenidos para la difusión de videos o sonido o compartir
contenidos a través de redes sociales.
Nota: Estas cookies quedan excluidas del ámbito de aplicación del artículo 22.2 de la LSSI, y por lo
tanto, no sería necesario informar ni obtener el consentimiento sobre su uso
Cookies de PERSONALIZACIÓN: Son aquéllas que permiten al usuario acceder al servicio
con algunas características de carácter general predefinidas en función de una serie de
criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador
a través del cual accede al servicio, la configuración regional desde donde accede al servicio,
etc.
Nota: Estas cookies quedan excluidas del ámbito de aplicación del artículo 22.2 de la LSSI, y por lo
tanto, no sería necesario informar ni obtener el consentimiento sobre su uso
Cookies de ANALISIS: Son aquéllas que permiten al responsable de las mismas, el
seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están
vinculadas, para la elaboración de perfiles de navegación de los usuarios de dichos sitios,
aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los
datos de uso que hacen los usuarios del servicio.
Cookies PUBLICITARIAS: Son aquéllas que permiten la gestión, de la forma más eficaz
posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página
web, aplicación o plataforma desde la que presta el servicio solicitado en base a criterios
como el contenido editado o la frecuencia en la que se muestran los anuncios.
Cookies de PUBLICIDAD COMPORTAMENTAL: Son aquéllas que permiten la gestión, de
la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya
incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado.
Estas cookies almacenan información del comportamiento de los usuarios obtenida a través
de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un
perfil específico para mostrar publicidad en función del mismo.
Nota: En todo caso, debe tenerse en cuenta que estas tipologías se ofrecen a título orientativo por
ser las más habituales. Los editores y los terceros podrán realizar las categorizaciones que
consideren que mejor se ajustan a las finalidades de las cookies que utilizan, de forma que se respete
el principio de transparencia frente a los usuarios.
16
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
¿Qué tipos de cookies se utilizan en esta página web?
Nota: Hay que informar al usuario de manera específica de las cookies que usa la web. Si son propias del
titular de la web o son de terceros. A modo de ejemplo se puede establecer una tabla como la siguiente:
Cookies Propias
Dominio Nombre Finalidad Duración
La finalidad de esta cookie
es…
Sesión / Persistente
Fecha de expiración:
La finalidad de esta cookie
es…
Sesión / Persistente
Fecha de expiración:
Cookies de terceros: + Conoce a los terceros
Dominio Nombre Finalidad Duración
La finalidad de esta cookie
es…analítica de publcidad, etc
Sesión / Persistente
Fecha de expiración:
Nota: No será necesario dar información directa sobre los terceros, sino que podrán utilizarse mecanismos
como botones que desplieguen esa información más específica o texto emergente que aparezca al pasar el
puntero del ratón por encima, y ello siempre que el usuario pueda acceder fácilmente a la información si así
lo desea.
¿Cómo aceptar, denegar o revocar el consentimiento para el uso de las cookies?
Puede permitir, denegar o administrar las cookies que se utilizan en la web a través
del panel de configuración de cookies que aparece en la ventana emergente cuando se visita
la página web.
Hay que tener en cuenta que un cambio en su configuración en el panel de configuración no
eliminará automáticamente las Cookies ya descargadas. Tienes la opción de permitir, bloquear o
eliminar las cookies instaladas en tu equipo mediante la configuración de las opciones del
navegador instalado en su equipo o desde el sistema ofrecido por los propios terceros”.
Cada navegador dispone de unas instrucciones específicas de configuración. A
continuación, le proporcionamos los enlaces con la información concerniente a los
navegadores más habituales:
Chrome: https://support.google.com/chrome/answer/95647?hl=es
Microsoft Internet Explorer o Microsoft Edge: http://windows.microsoft.com/eses/windows-vista/Block-or-allow-cookies
17
Instuto de Protección de Datos, S.L
Consultora Especializada en LOPD y Ley de Servicios de la Sociedad de la Información
y Comercio Electrónico
Mozilla Firefox: https://support.mozilla.org/es/products/firefox/protect-your-privacy/cookies
SafarI Mac: https://support.apple.com/es-es/guide/safari/manage-cookies-and-websitedata-sfri11471/mac
SafarI IOS: https://support.apple.com/es-es/HT201265
Opera: https://help.opera.com/en/latest/web-preferences/#cookies
¿Qué Ocurre si se deshabilitan Las Cookies?
En el caso de bloquear o no aceptar la instalación de cookies es posible que ciertos servicios
ofrecidos por nuestro sitio web que necesitan su uso queden inoperativos. por lo que no podrá
aprovechar por completo todo lo que nuestra web y aplicaciones le ofrecen. Es posible también que
la calidad de funcionamiento de la página web pueda disminuir.