RGPD EN LÍNEA
Reglas sobre cookies en un sitio web bajo el RGPD
Las normas sobre cookies en un sitio web en virtud del RGPD se basan en la denominada Directiva sobre la privacidad y las comunicaciones electrónicas. Tanto el RGPD como la Directiva sobre la privacidad y las comunicaciones electrónicas contienen muchas normas clave de la UE sobre cookies.
Uso de Cookies
Las empresas que tienen un sitio web, que hoy en día es la mayoría, suelen utilizar cookies de diferentes tipos y para diferentes fines. Si el uso de cookies también significa que se almacenan datos personales en la cookie, como la dirección IP o la dirección de correo electrónico de una persona, también se aplica el RGPD.
Por lo tanto, es importante que las empresas conozcan las normas aplicables a las cookies en un sitio web en virtud del RGPD cuando utilicen cookies.
¿Qué son las cookies?
En pocas palabras, las cookies son pequeños archivos de texto que contienen una cierta cantidad de información que el sitio web puede guardar en el dispositivo del visitante (por ejemplo, ordenador, móvil o tableta). Las cookies son una forma de identificador en línea, que puede constituir datos personales de acuerdo con el considerando 30 del RGPD. Esto se debe a que las cookies pueden dejar rastros que, en combinación con otros datos recibidos por los servidores, pueden utilizarse para crear perfiles de personas físicas e identificarlas.
Una persona puede asociarse con identificadores en línea proporcionados por su equipo, aplicaciones, herramientas y protocolos, como las cookies. Por lo tanto, las cookies son una forma de identificador en línea, y parte de la información contenida en las cookies puede constituir datos personales. Por ejemplo, un nombre de usuario, una dirección IP o una dirección de correo electrónico.
¿Cuál es el propósito de las cookies?
El uso de cookies puede ser realizado por una empresa para varios propósitos diferentes. Por ejemplo, las cookies pueden permitir a la empresa que opera el sitio web:
- Recuperar información que ya está almacenada en el dispositivo del visitante.
- Almacenar nueva información en el dispositivo del visitante. El almacenamiento puede tener lugar tanto durante una sola visita (cookie temporal) como entre varias visitas (cookie permanente).
- Vea lo que el visitante ha hecho en el sitio web, almacenando datos sobre sus actividades e interacciones en el sitio web.
- Garantizar que las funciones esenciales del sitio web funcionen según lo previsto.
- Transferir determinados datos entre el sitio web y el dispositivo del visitante, o a un tercero.
- Almacenar información en el dispositivo del visitante, como la configuración lingüística elegida por el usuario para el sitio web.
- Hacer posible llevar a cabo marketing dirigido al visitante la próxima vez que el visitante visite el sitio web, en función de los intereses demostrados y el uso del sitio web.
¿Hay alguna diferencia entre las cookies permanentes y las cookies temporales?
Sí, hay varias diferencias entre las cookies permanentes y las cookies temporales. Estos son dos tipos diferentes de cookies, y a continuación se describe las principales diferencias:
Cookies temporales
Las cookies temporales (también conocidas como cookies de sesión) se almacenan temporalmente en la memoria del dispositivo y no tienen fecha de caducidad. Estas cookies están activas y se almacenan solo durante la sesión del navegador en cuestión. Luego se eliminan automáticamente del dispositivo, cuando se cierra el navegador. Es decir, el almacenamiento de cookies temporales tiene lugar solo mientras el visitante navega por el sitio web, hasta que el visitante cierra el navegador. Las cookies temporales se utilizan a menudo para habilitar ciertas funciones en el sitio web y para mantener una sesión de usuario.
Cookies permanentes
Las cookies permanentes (también conocidas como cookies persistentes) se almacenan en el dispositivo durante un período de tiempo fijo. La duración del almacenamiento se muestra en la configuración de cookies. Las cookies permanentes permanecen almacenadas en el dispositivo incluso después de que el visitante haya cerrado el navegador, hasta su fecha de vencimiento o eliminación manual. Es común que las cookies permanentes se utilicen para guardar la configuración del usuario para futuras visitas al sitio web, como la configuración de idioma elegida por el usuario.
¿Cuál es la diferencia entre las cookies esenciales y las no esenciales?
Las cookies esenciales y las cookies no esenciales son dos categorías diferentes de cookies. Estas también están sujetas a diferentes normas sobre cookies en un sitio web en virtud del RGPD y de la Directiva sobre la privacidad y las comunicaciones electrónicas. A continuación puede leer más sobre la diferencia entre estas categorías de cookies.
Galletas esenciales
Existen cookies que deben utilizarse para que un sitio web funcione correctamente, también conocidas como cookies estrictamente necesarias. Se refiere principalmente a las cookies que permiten que las funciones del sitio web funcionen según lo previsto y para prestar los servicios en línea solicitados por el visitante. Para utilizar cookies esenciales, no se requiere el consentimiento del visitante. Esto significa que siempre se utilizarán cookies clasificadas como «esenciales». Sin embargo, es importante que la empresa sea consciente de que las cookies esenciales deben garantizar funciones básicas y características de seguridad que son importantes para el visitante del sitio web. No se trata de lo que la empresa piensa que es necesario / esencial o no.
Cookies no esenciales
Estas cookies no son necesarias ni esenciales para el correcto funcionamiento de las funciones básicas del sitio web. En cambio, se utilizan para otros fines, como el análisis del tráfico del sitio web, la mejora de la experiencia del usuario, fines estadísticos, etc.
Requisitos específicos para el uso de cookies y normas aplicables a las cookies en un sitio web en virtud del RGPD
Requisitos de información: La empresa siempre debe informar a los visitantes del sitio web sobre el uso de cookies. Esto se aplica independientemente de si la empresa solo utiliza cookies esenciales, o también cookies no esenciales. El propósito es dar al visitante una idea clara de cómo funcionan las cookies en la práctica y ayudarlo a tomar decisiones informadas sobre el uso de cookies. La información debe ser proporcionada por la empresa que publica un aviso de cookies, a veces también llamado política de cookies. Esto puede ser útilmente publicado en el pie de página del sitio web para un fácil acceso, y también debe estar vinculado en el banner de cookies donde el visitante puede administrar su configuración de cookies (si corresponde).
Consentimiento: Para que una empresa pueda utilizar cookies no esenciales, los visitantes del sitio web deben dar activamente su consentimiento. Además, el visitante tiene derecho a retirar el consentimiento en cualquier momento, en cuyo caso el uso de estas cookies no esenciales cesará inmediatamente. Si el visitante no da su consentimiento, o ha dado un consentimiento inválido, las cookies no esenciales no pueden almacenarse en el dispositivo del visitante.
Ejemplos de lo que constituyen consentimientos inválidos:
- Cuando no es posible retirar un consentimiento dado, o si es demasiado difícil hacerlo, el consentimiento no es válido. Un punto de partida es que debería ser tan fácil retirar un consentimiento como darlo.
- Los botones en el banner de cookies para «Aceptar» o «Denegar» las cookies no deben diseñarse de manera que influyan en las opciones del visitante. Por ejemplo, el botón «Aceptar» es grande y verde, mientras que el botón «Denegar» es más pequeño y gris.
- El consentimiento pasivo no es válido. En otras palabras, no está permitido almacenar cookies no esenciales en el caso de que un visitante no haya aceptado ni negado el uso de cookies.
- Si una casilla de consentimiento está marcada previamente, no constituye un consentimiento válido. Esto se debe a que no se considera que el visitante lo proporcione activamente.
Lo que debe indicarse en el aviso de cookies con respecto al uso de cookies
Hay varias cosas que deben quedar claras cuando una empresa informa a los interesados sobre el uso de cookies en el sitio web. Estos incluyen:
- Datos de la empresa, como el nombre de la empresa, el número de registro de la empresa y los datos de contacto.
- Una lista de cada cookie individual que la empresa tiene la intención de utilizar. Esta lista debe mantenerse actualizada regularmente, para reflejar el uso actual de cookies. La lista debe contener al menos la siguiente información:
- El nombre de cada cookie.
- A qué categorías pertenece cada cookie.
- Qué período de almacenamiento se aplica a cada cookie.
- Una descripción del propósito del uso de la cookie respectiva.
- Si son cookies de terceros o no. Si se trata de una cookie de terceros o si la información se comparte con un tercero, esto debe indicarse.
- Cómo el visitante del sitio web puede retirar su consentimiento.
- Cómo el visitante del sitio web puede administrar su configuración con respecto al almacenamiento de cookies.
¿Cómo puede un visitante del sitio web administrar su configuración con respecto al almacenamiento de cookies no esenciales?
El visitante de un sitio web puede controlar y administrar cómo se pueden almacenar cookies no esenciales en su dispositivo, a través de varios métodos. Por ejemplo, el visitante debe tener la posibilidad de habilitar o deshabilitar total o parcialmente las cookies no esenciales. Sin embargo, es importante informar al visitante que deshabilitar las cookies no esenciales, en su totalidad o en parte, puede afectar la funcionalidad del sitio web y hacer que ciertas funciones no funcionen según lo previsto.
A continuación puede leer sobre las diferentes formas en que el visitante puede administrar su configuración de cookies.
1. La solución de cookies instalada del sitio web
Si el sitio web utiliza cookies no esenciales y tiene habilitada una solución de cookies instalada, por ejemplo, a través de un complemento de cookies, el visitante debe al menos poder realizar las siguientes acciones a través de él:
- Acepta todas las cookies.
- Negar todas las cookies no esenciales.
- Proporcionar consentimiento personalizado para diferentes categorías de cookies individuales.
Tenga en cuenta que la empresa no necesita instalar una solución de cookies cuando utiliza solo cookies esenciales. Esto se debe a que la empresa siempre puede utilizar cookies esenciales, sin el consentimiento del visitante.
¿Cuándo debe mostrarse el banner de cookies?
El banner de cookies debe mostrarse cuando el visitante visita el sitio web por primera vez. También debe mostrarse cuando se realicen cambios significativos en el aviso de cookies, las cookies utilizadas o las categorías de cookies utilizadas. Esto debe hacerse para garantizar que el consentimiento que el visitante pueda dar o haya dado previamente, cumpla con los requisitos para ser considerado válido.
¿Cómo puede el visitante retirar su consentimiento o cambiar sus opciones?
Además, el visitante del sitio web tendrá la posibilidad de retirar el consentimiento en cualquier momento, después de darlo. Esto debe hacerse al poder volver a abrir el banner de cookies para cambiar su configuración. A menudo esto se hace a través de un pequeño widget en la parte inferior del sitio web. Alternativamente, tiene un botón o enlace para «gestionar la configuración de cookies» en el pie de página del sitio web. Debería ser fácil encontrar la configuración de nuevo. El propósito es dar al visitante la flexibilidad de personalizar su configuración de cookies para el sitio web de acuerdo con sus preferencias y necesidades.
2. La configuración del navegador
El visitante de un sitio web también puede limitar el uso de cookies ajustando la configuración en el navegador. Muchos navegadores permiten al usuario bloquear las cookies no esenciales o requieren que el usuario acepte activamente cada nueva cookie antes de que se almacene en el dispositivo.
La configuración a través del navegador también puede dar al usuario la posibilidad de bloquear las cookies de terceros. En algunos casos, el usuario también puede marcar los sitios web visitados con frecuencia como «de confianza». Esto significa que siempre se aceptan las cookies de dichos sitios web. Además, a través de la configuración del navegador, el usuario puede eliminar cookies individuales específicas que se hayan almacenado o borrar todas las cookies anteriores.
¿Dónde están estas características en el navegador?
Estas características se encuentran a menudo en las opciones de menú del navegador «Configuración», «Ayuda» o «Herramientas». Tenga en cuenta que las funciones pueden variar según el navegador que utilice el visitante (por ejemplo, Chrome, Firefox, Safari, Edge, Opera, etc.). Si el visitante necesita ayuda para configurar la configuración del navegador, debe ponerse en contacto con el editor del navegador o visitar sus páginas de ayuda para obtener más información y asistencia.
¿Es necesario personalizar la configuración de las cookies en cada navegador y en cada dispositivo?
Sí, la configuración de las cookies debe personalizarse en cada navegador y en cada dispositivo. La empresa debe informar al visitante del sitio web sobre esto. Es para asegurarse de que sus preferencias se aplican en todas partes en todos los dispositivos y sitios web que utilizan.
¿Ajustar la configuración de las cookies del navegador cumple los requisitos del RGPD?
Para que se considere que los visitantes del sitio web han dado un consentimiento válido en virtud del RGPD, debe llevarse a cabo mediante una acción activa. Por lo tanto, es importante tener en cuenta que ajustar la configuración de las cookies a través del navegador no siempre es suficiente, si el sitio web utiliza cookies no esenciales que requieren un consentimiento activo previo. Por lo tanto, la empresa debe recomendar a los visitantes del sitio web que utilicen en su lugar la configuración de cookies en el sitio web de la empresa, a través de la solución de cookies instalada, para gestionar su consentimiento.
«Entiendo» y «Estoy de acuerdo» significan dos cosas diferentes
Es importante introducir el texto correcto en los botones en los que el visitante puede elegir hacer clic, para administrar la configuración de cookies, a través de la solución de cookies instalada o el banner de cookies en el sitio web.
El texto del botón «Entiendo» no significa que el visitante consienta el uso de cookies. El botón debe indicar «Estoy de acuerdo» o «Aceptar». Además, el usuario del sitio web debe tener la posibilidad de «negar» las cookies y de abrir la «configuración de cookies». Esto también se aplica después de que se haya dado el consentimiento. El visitante debe tener la oportunidad de retirar el consentimiento de una manera igualmente simple, o de otra manera cambiar la configuración. Esta es una de las reglas clave sobre cookies en un sitio web bajo el RGPD.
¿Está permitido tener una pared de cookies en el sitio web?
No, está prohibido diseñar el banner de cookies del sitio web como una pared de cookies. Un muro de cookies significa que un muro de información sobre cookies ocupa la totalidad o una gran parte del sitio web. A menudo, las paredes de galletas se colocan en el centro de la pantalla y ocupan una gran superficie. Hace que sea imposible leer el texto detrás de la pared de galletas.
Para que el visitante del sitio web pueda acceder a la información del sitio web, debe aceptar cookies. Por lo tanto, un muro de cookies obliga al visitante a aceptar cookies para usar el sitio web. Por lo tanto, tal consentimiento no puede considerarse prestado libremente. Por lo tanto, no está permitido tener una pared de cookies en su sitio web.
RGPD EN LÍNEA
Protección de datos por defecto y privacidad por diseño
Las empresas que son responsables del tratamiento de datos deben implementar la protección de datos por defecto y la privacidad desde el diseño (artículo 25 del RGPD). Lo mismo se aplica a la protección de datos por defecto. La protección de datos por defecto significa que las empresas que, por ejemplo, proporcionan un servicio digital o similar, deben tener configuraciones amigables con la protección de datos. Por ejemplo, mediante la implementación de una función que permite a los usuarios retirar su consentimiento. Las empresas que procesan datos personales también deben establecer medidas de seguridad organizativas y técnicas adecuadas para proteger los datos personales. Ejemplos de medidas técnicas de seguridad son la protección contra virus, la autenticación multifactor en el inicio de sesión, los archivos de copia de seguridad y similares. Entre los ejemplos de medidas de seguridad organizativas cabe citar la formación del personal en materia de protección de datos y la existencia de instrucciones y procedimientos claros en relación con el tratamiento de datos personales.