Se dice que la primera lección de la «Ley de Cookies» consiste en saber que no se trata de una Ley en sí misma sino la modificación de un artículo de la Ley de Servicios de la Sociedad de la información a través de un Real Decreto de 2012. De los tres párrafos del artículo el más importante es el que sigue:
Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización»
Esa palabra que hemos señalado en negrita es la más importante de la Ley, si queremos instalar cookies debemos hacerlo después de que el usuario haya dado su consentimiento. Una premisa que incumple la gran mayoría de los sitios web que han implementado ventanas de aceptación de cookies.
Que no se esté cumpliendo la Ley al pie de la letra es algo hasta cierto punto lógico por la incapacidad para controlar ciertas cookies de terceros como dice la propia ley. O la pérdida de la analítica de los rebotes de la web si desactivamos las cookies de Google Analytics o todas las estadísticas de los usuarios que naveguen sin cookies.
Existen muchos documentos para ayudar al cumplimiento de la normativa. Os dejamos los dos más importantes:
- Guía sobre el uso de Cookies impulsado por la Asociación Española de Anunciantes a través de la Agencia Española de Protección de Datos.
- Dictamen 4/2012 sobre la exención del requisito de consentimiento de cookies elaborado por el Grupo de Trabajo del artículo 29, un órgano consultivo de la Unión Europea encargado de temas de protección de datos y privacidad.
Resulta interesante el segundo documento por la reflexión acerca de las condiciones que deben cumplir las cookies para que puedan estar exentas del cumplimiento de la ley. Según este artículo las cookies exentas serían:
- Cookies de «entrada del usuario».
- Cookies de autenticación o identificación de usuario (únicamente de sesión).
- Cookies de seguridad del usuario.
- Cookies de sesión de reproductor multimedia.
- Cookies de sesión para equilibrar la carga.
- Cookies de personalización de la interfaz de usuario.
- Cookies de complemento (plugin para intercambiar contenidos sociales).
Para que estas cookies estén exentas de la obligación de aceptación por parte del usuarios se deben cumplir una de las dos condiciones siguientes:
- Que sean necesarias para establecer una comunicación de las recogidas por la LSSI.
- Que correspondan a un servicio expresamente solicitado por el usuario.
Existe debate al respecto con el cumplimiento de alguna de estas premisas para las cookies establecidas por las redes sociales para los botones de intercambio de contenido. Según el grupo de trabajo europeo solo estarían permitidas las cookies de redes sociales en las que el usuario se encuentre logueado. Esto, ya os aventuro que no se está cumpliendo.
Otro sitio interesante es esta página del Ministerio de Industria que muestra respuesta a una serie de preguntas frecuentes sobre el cumplimiento de la Ley de Servicios de la Sociedad de la Información, y por tanto cumplimiento de la Ley de Cookies.