En el post de hoy vamos a hablar sobre cómo informar sobre las cookies, ya que las últimas sanciones de la Agencia de Protección de Datos ha hecho que este sea un asunto de enorme interés.
¿Qué normativa hay que conocer?
Antes de entrar en la práctica debemos indicar la legislación aplicable, destacando que en ámbito sancionador rigen los principios de legalidad y tipicidad recogidos en los artículos 127 y 129 de la Ley 30/1999, de 26 de noviembre. Es decir, estos artículos obligan a circunscribirse al sentido literal del precepto y a la tipificación contemplada respecto del mismo, sin que en ningún caso quepa efectuar una interpretación en sentido amplio.
Hay dos leyes que deben leerse, la Ley de Protección de Datos Personales(LOPD) y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) y hay en concreto dos artículos que deben grabarse en nuestro cerebro en materia de cookies y aplicaciones similares:
«Artículo 5 Derecho de información en la recogida de datos (LODP)
1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.»
«Artículo 22 Derechos de los destinatarios de servicios (LSSI)
1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.
A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.
2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.»
¿Cómo informar en la práctica?
Muy importante para los profesionales ajenos al mundo del Derecho: no se requiere utilizar un texto extenso, ni una terminología técnica o jurídica. Basta con redactar un texto completo, sencillo y de fácil comprensión, que recoja TODOS los puntos que reflejamos a continuación para que el usuario tome una decisión con conocimiento. Es decir, obtener un CONSENTIMIENTO INFORMADO.
Además la obtención y tratamiento de datos personales exige que las mismos sean «determinados, explícitos y legítimos».
La AEPD propone que el deber de información y la solicitud de consentimiento para el uso de cookies se haga por medio de dos fases, una primera fase donde se proporciona una información básica y una segunda fase donde desarrollar y ampliar la información.
1ª fase:
En una pequeña barra que salta en la pantalla cuando el usuario entra en el sitio web:
a) Informar que la página web utiliza cookies.
b)Informar sobre los fines para los que se usan las cookies.
c) Solicitar el consentimiento para el uso de las cookies.
En esta primera basta con advertir si se trata de cookies propias (las de sesión) o de terceros, mencionando brevemente el destino de las cookies, y por último, el consentimiento debe darse posteriormente a haberse facilitado la información principal.
2ª Fase:
Para el usuario que quiere saber más sobre esta cuestión, hay que desarrollar la información en el apartado de «Aviso legal», «Política de Privacidad» o en un apartado propio «Política de cookies».
En este apartado hay que plasmar la definición y función de las cookies, el tipo y finalidad de las utilizadas, y debe reflejar de manera sencilla y gratuita la forma de desactivar y eliminar las cookies, y por supuesto, de revocar el consentimiento.
En esta segunda fase tampoco es necesario redactar un texto extenso, pero al tratar con datos personales, debe cumplirse de forma rigurosa que el usuario consienta la recogida y uso de los datos, y debe saber en todo momento el uso de los mismos (teniendo el control y pudiendo revocar el consentimiento en todo momento).
Si desarrollas estás dos fases de forma sencilla y comprensible, no debes tener miedo a las sanciones.
comments (0)