La Directiva ePrivacy, el RGPD y las cookies en España
Las cookies son pequeños archivos de texto que se almacenan en el navegador del usuario al visitar sitios web. Realizan un seguimiento del comportamiento online de los usuarios, recuerdan sus preferencias y habilitan determinadas funcionalidades del sitio web. A pesar de su utilidad, estas cookies de seguimiento plantean problemas de privacidad, ya que pueden recopilar, procesar y compartir una amplia variedad de datos personales y potencialmente confidenciales.
Las normativas españolas sobre cookies forman parte de un marco legislativo diseñado para proteger los datos personales y la privacidad digital de los residentes en España. Estas normativas están configuradas por la Directiva ePrivacy de la Unión Europea (conocida como la “ley de cookies“) y el Reglamento General de Protección de Datos (RGPD), ambos integrados en la legislación española.
Las principales leyes que regulan las cookies en España son:
- La Ley Orgánica 3/2018, conocida como Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), que adapta la legislación española al RGPD e incluye disposiciones específicas para la protección de datos personales. Aunque la LOPDGDD no se centra únicamente en las cookies, engloba el tratamiento de los datos personales, que pueden incluir los datos obtenidos a través de las cookies. Puedes consultar nuestra entrada de blog sobre la LOGPDD aquí.
- La Ley 34/2002 o la Ley de servicios de la sociedad de la información y de comercio electrónico (LSSI) implementa la Directiva ePrivacy y se centra específicamente en los asuntos relacionados con las cookies.
Juntas, la LOPDGDD y la LSSI cubren diversos aspectos de los derechos digitales y la protección de datos. Este enfoque se ha concebido para respetar la privacidad individual y garantizar que las entidades que utilizan cookies lo hagan de forma responsable, respetando la transparencia y la rendición de cuentas.
El cumplimiento de las leyes de privacidad de datos en España es competencia de la AEPD.
¿A quién se aplican las leyes de cookies en España?
Las leyes de cookies en España abarcan una amplia gama de plataformas y entidades digitales. Estas leyes se aplican, principalmente:
- A los sitios web y aplicaciones móviles dirigidos a usuarios españoles o que procesan datos de particulares en España.
- A las plataformas, independientemente de dónde se encuentren, que ofrezcan bienes o servicios a residentes en España o rastreen su comportamiento dentro del territorio español.
Dado que las normativas de cookies en España están diseñadas para proteger la privacidad de las personas en el país, cualquier sitio web o servicio online que interactúe con este tipo de público debe asegurarse de cumplir las normativas.
Consentimiento de cookies en España
¿Qué es el consentimiento válido?
La ley de cookies en España hace hincapié en que el uso de cookies, salvo contadas excepciones, requiere el consentimiento del usuario. El artículo 6 de la LOPDGDD establece la definición de consentimiento del usuario en sintonía con la del RGPD. En virtud del RGPD, el consentimiento sobre cookies debe otorgarse de forma libre, específica, informada y explícita.
El consentimiento explícito a las cookies se obtiene, por lo general, a través de una acción clara y afirmativa, como hacer clic en un botón con la etiqueta “Consiento”, “Acepto” o un término similar.
Ciertas acciones no constituyen consentimiento según la LOPDGDD y la LSSI.
- Ninguna forma de consentimiento implícito, como continuar utilizando un sitio sin aceptar o rechazar activamente las cookies, se considera válida.
- El simple hecho de no realizar una acción no puede interpretarse como dar consentimiento.
- Las casillas marcadas previamente o las opciones de aceptación por omisión no constituyen una acción afirmativa clara de consentimiento, ya que implican el consentimiento de forma predeterminada, lo que no está permitido.
- El consentimiento obtenido a través de muros de cookies, cuando los usuarios se ven obligados a aceptar las cookies para acceder al sitio web, no se considera un consentimiento otorgado libremente de acuerdo con el RGPD.
Cuando una cookie sirve para dos o más fines diferentes, pero un usuario sólo acepta uno de ellos, la cookie solo debe funcionar para el fin aceptado.
La ley de protección de datos española especifica que el usuario debe tener al menos 14 años de edad para otorgar un consentimiento válido. En el caso de los menores de 14 años, debe obtenerse el consentimiento de sus padres o tutores legales.
¿Qué cookies están exentas de la obligación de obtener el consentimiento explícito?
El artículo 22.2 de la LSSI describe ciertas situaciones en las que los sitios web o las aplicaciones no necesitan obtener el consentimiento explícito de los usuarios para utilizar cookies. Son dos los tipos de cookies exceptuadas:
- Para la comunicación: Estas cookies son estrictamente necesarias para habilitar la función básica de conectar el ordenador del usuario a la red. Por ejemplo, cuando visita un sitio web, estas cookies ayudan a establecer la conexión entre su ordenador y el servidor del sitio web para que pueda cargarse y mostrarse el sitio web en su dispositivo. Son esenciales para el funcionamiento básico del sitio web.
- Para los servicios solicitados: Se trata de cookies que se utilizan específicamente para proporcionar un servicio que un usuario ha solicitado de forma explícita. Por ejemplo, al comprar en Internet y añadir artículos al carro, las cookies se utilizan para recordar lo que has añadido. Estas cookies garantizan que el carro de la compra permanezca actualizado con los artículos seleccionados mientras sigues navegando por el sitio. Son necesarias para las funciones específicas que desea utilizar el usuario.
En ambos casos, estas cookies se consideran esenciales para el funcionamiento básico del sitio web o para la prestación de un servicio que el usuario ha solicitado directamente. Por lo tanto, los sitios web pueden utilizar este tipo de cookies sin necesidad de pedir permiso cada vez.
Otros ejemplos de cuándo no se necesita consentimiento para las cookies son las cookies de personalización, que recuerdan preferencias como la configuración del idioma o el tamaño de la fuente, las de identificación del usuario o de autenticación, que ayudan a mantener la sesión del usuario de forma segura sin necesidad de volver a iniciar sesión en cada página, y las de sesión, que gestionan la carga del servidor para garantizar que la experiencia del usuario en el sitio web sea coherente e ininterrumpida.
Nuevas directrices sobre el uso de cookies para las herramientas de medición de audiencia
En enero de 2024 se dictaron en España nuevos requisitos, que se aplican a los operadores de sitios web o aplicaciones móviles que establecen cookies para la medición de la audiencia.
Según las nuevas directrices, las cookies que se utilizan para obtener estadísticas de tráfico o rendimiento pueden estar exentas de los requisitos de consentimiento en las siguientes condiciones específicas:
- Los datos recopilados se limitan solo a los estrictamente necesarios para la prestación del servicio.
- El tratamiento debe realizarse exclusivamente en nombre del editor.
- El tratamiento solo se puede utilizar para producir datos estadísticos anónimos.
- El uso de estas cookies o tecnologías similares no debe dar lugar a que los datos se cotejen con otras operaciones de tratamiento.
- Los datos recopilados por estas cookies o tecnologías similares no deben transmitirse a terceros.
- El uso de estas cookies o tecnologías similares no debe permitir el seguimiento agregado de la navegación de un usuario por diferentes sitios web u otras aplicaciones.
Requisitos de los proveedores de servicios de medición de audiencia
Un proveedor que proporciona un servicio de medición comparativa de audiencias a varios editores debe proporcionar garantías objetivas a dichos editores de que:
- Los datos se recopilan, procesan y almacenan de forma independiente para cada editor.
- Las cookies o tecnologías similares utilizadas son completamente independientes entre sí y de cualquier otra cookie o tecnología similar.
Cuando un editor utiliza un proveedor de servicios de medición de audiencia, también deben existir las siguientes garantías y requisitos:
- El contrato con el proveedor debe cumplir los requisitos del art. 28 del RGPD:
- Obligación de no reutilizar en ningún caso los datos recopilados en el marco del contrato.
- Restricción del tratamiento de los datos a los fines antes expuestos según sea estrictamente necesario.
- Cumplimiento de las garantías establecidas en el caso de servir a varios editores.
- Cualquier transferencia de datos fuera de la Unión Europea cumple las condiciones establecidas en el RGPD
- Realizar y documentar una evaluación, por parte del editor o de un tercero independiente, de si es posible configurar y se han configurado las herramientas proporcionadas por el proveedor para garantizar el cumplimiento de los requisitos antes mencionados.
Condiciones estrictamente necesarias aceptadas para la administración del sitio web
Según la primera condición, la AEPD solo considera estrictamente necesarias para la correcta administración de un sitio web las siguientes medidas:
- Medición de audiencia página por página.
- La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual (a veces llamada “referente”), ya sea interna o externa al sitio, por página y agregada diariamente.
- Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente.
- Estadísticas de tiempo de carga de la página, por página y agregadas por hora.
- Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente.
- Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente.
- Estadísticas sobre la zona geográfica de origen de las solicitudes, por página y agregadas diariamente.
Cualquier otra recopilación y tratamiento de datos más allá de los tipos y fines enumerados anteriormente deben contar con el consentimiento previo del interesado (usuario, cliente, jugador o visitante) para que se considere lícito.
Requisitos de notificación a los usuarios del uso de cookies de medición de audiencia
- Se debe informar a los usuarios sobre el uso de este tipo de cookies o tecnologías similares para estos fines, aunque estén exentas de la obligación de recabar el consentimiento del usuario. Esta información se proporciona normalmente en la política de privacidad de un sitio web o una aplicación.
- La duración de estas cookies o tecnologías similares debe limitarse a un periodo que permita una comparación significativa de audiencias a lo largo del tiempo, por ejemplo, una duración de 13 meses. Esta duración no se ampliará automáticamente en las nuevas visitas.
- La información recopilada a través de estas cookies o tecnologías similares podrá conservarse durante un periodo máximo de 25 meses.
- La duración/vida útil y los periodos de conservación estarán sujetos a revisiones periódicas para limitarse a lo estrictamente necesario.
Comienza a utilizar Cookiebot CMP
Recopila el consentimiento de los visitantes en España para cumplir la normativa de cookies
¿Pueden los usuarios retirar el consentimiento otorgado anteriormente?
Al igual que el RGPD, la ley de cookies en España exige que los usuarios puedan retirar su consentimiento en cualquier momento. Esto proporciona a los usuarios control sobre sus datos personales incluso si dan inicialmente su consentimiento para el uso de cookies.
Los sitios web deben proporcionar instrucciones claras sobre cómo pueden los usuarios retirar su consentimiento y eliminar las cookies ya almacenadas en sus dispositivos. El proceso para rechazar las cookies debe ser tan accesible y sencillo para los usuarios como el proceso para aceptarlas.
¿Cómo pueden los usuarios rechazar su consentimiento?
La ley exige que la opción de rechazar las cookies se presente junto con la opción de aceptarlas, de forma que se garantice la misma visibilidad y accesibilidad.
Esto significa que los mecanismos para aceptar y rechazar las cookies, como botones o enlaces, deben estar diseñados de forma similar y ubicados en el mismo nivel de la página o interfaz de usuario del banner de consentimiento de cookies.
El objetivo es facilitar una elección imparcial sin complicar el proceso de rechazo.
Requisitos del banner de consentimiento de cookies en España
Primera capa del banner de consentimiento
Según la legislación española, la primera capa de un banner de consentimiento de cookies debe proporcionar a los usuarios información esencial al acceder a un sitio web o aplicación. Esta capa debe:
- Mostrar claramente el nombre del editor del sitio web.
- Informar a los usuarios sobre los fines específicos del uso de cookies, como la mejora de la experiencia del usuario, el análisis o la publicidad.
- Especificar si las cookies utilizadas son de origen o de terceros.
- Describir los tipos de cookies que se utilizan (por ejemplo, cookies funcionales, analíticas o publicitarias) y la naturaleza de los datos que recopilan y procesan.
- Ofrecer opciones claramente etiquetadas para aceptar, configurar o rechazar el uso de cookies.
- Proporcionar un enlace a una segunda capa de información que ofrezca más detalles sobre el uso de las cookies, sus implicaciones para la privacidad y las prácticas de gestión de datos.
Segunda capa del banner de consentimiento
La segunda capa de información de un banner de cookies debe mostrar información más detallada y específica sobre las cookies que se están utilizando.
Un elemento clave de esta capa es un panel de control o un panel de ajustes, que proporciona a los usuarios un control más detallado sobre sus preferencias en cuanto a las cookies. Se puede lograr de las siguientes formas:
- Agrupación por finalidad: Esta categorización permite a los usuarios dar su consentimiento de forma selectiva para uno o varios usos previstos de las cookies, como análisis, marketing o integración de redes sociales.
- Agrupación por proveedores externos: Dentro de cada categoría de finalidad, las cookies se pueden agrupar en función del tercero responsable de ellas. Esto significa que los usuarios tengan la opción de aceptar cookies de una entidad de terceros y rechazar las de otra.
- Identificación de terceros: El banner de cookies debe identificar claramente las cookies de terceros, ya sea por el nombre del tercero o por el nombre de marca por el que se conoce públicamente.
El panel de ajustes debe indicar claramente a los usuarios cómo guardar sus preferencias de cookies, con opciones como “guardar selección” o “guardar configuración”.
Texto sobre cookies en el banner de consentimiento
Según la normativa española, el texto utilizado en los banners de consentimiento de cookies es flexible, siempre y cuando comunique claramente las implicaciones de las elecciones de los usuarios con respecto a la aceptación o el rechazo de las cookies.
La opción estándar, “Aceptar”, se puede sustituir por expresiones equivalentes como “Aceptar cookies”, o “Consentir”. El requisito principal es que estas alternativas transmitan un mensaje claro de consentimiento al uso de las cookies.
La opción denominada “Configurar” puede sustituirse por términos como “Opciones”, “Más opciones”, “Otras opciones”, “Cookies”, “Política de cookies” o “Ajustes de la privacidad”.
El banner de cookies debe incluir una opción para rechazar las cookies con un lenguaje sencillo como “Rechazar cookies”, “Rechazar” o un término equivalente. Esto garantiza que los usuarios dispongan de un medio claro y directo para rechazar el uso de cookies.
Independientemente de la terminología, el texto del banner de cookies debe ser siempre sencillo, sin dar lugar a ambigüedades sobre lo que implica cada elección. Esto permite a los usuarios tomar decisiones informadas sobre su privacidad.
Duración de las cookies según las directrices
En el caso de las cookies en las que se requiere el consentimiento del usuario, la AEPD considera una buena práctica que la validez del consentimiento no sea superior a 24 meses. Esto significa que después de un periodo de dos años, los sitios web deben tratar de renovar el consentimiento de los usuarios para continuar usando cookies.
En el caso de las cookies que ofrecen funciones distintas a las que requieren un consentimiento explícito, se recomienda minimizar su vida útil tanto como su finalidad lo permita. Este enfoque de la duración de las cookies se ajusta a los principios de protección de datos más amplios, y garantiza que los datos de los usuarios no se conserven durante más tiempo del necesario y que las preferencias de los usuarios se actualicen periódicamente para reflejar el consentimiento actual.
Muros de cookies en España
El concepto de muro de cookies, en virtud de la ley de cookies en España, sigue de cerca las directrices del CEPD sobre consentimiento. Los usuarios deben poder acceder a los servicios y funcionalidades sin tener que someterse a la condición de aceptar las cookies, garantizando así que el consentimiento se otorga libremente y no bajo ninguna forma de imposición.
Si un sitio web desea implementar un muro de cookies, también debe proporcionar un medio alternativo de acceso al servicio que no requiera la aceptación de cookies. De este modo se garantiza que el consentimiento no se dé bajo coacción al restringir el acceso a los servicios.
Esta alternativa no tiene que ser necesariamente gratuita. Ofrecer un modelo de suscripción o un servicio de pago sin cookies es un enfoque viable según la normativa española sobre cookies.
Consecuencias del incumplimiento de la ley de cookies en España
El artículo 76 de la LOPDGDD incorpora en la legislación española las multas estipuladas en el RGPD. Como consecuencia, las empresas o entidades que no cumplan las normas españolas sobre cookies pueden enfrentarse a importantes sanciones económicas. Estas multas pueden alcanzar hasta 20 millones de euros o el 4 % de la facturación global total de la empresa, la cifra que sea mayor.
Cómo cumplir la ley de cookies en España
1. Seguir los requisitos actualizados de visualización en los banners
Diseña banners de cookies de acuerdo con las normas legales españolas, con claras opciones de aceptación y rechazo. Asegúrate de que tus banners proporcionen información relevante sobre el tipo de cookies utilizadas y su finalidad, de acuerdo con los requisitos de la primera y la segunda capa recogidos en las directrices de la AEPD.
2. Implantar una plataforma de gestión del consentimiento
El uso de una plataforma de gestión del consentimiento (CMP) como Cookiebot CMP te facilitará el cumplimiento de la ley de cookies en España y los requisitos sobre el consentimiento de cookies del RGPD. Puedes configurar Cookiebot CMP para cumplir los requisitos legales en España a la hora de obtener el consentimiento de los usuarios, lo que incluye ofrecer opciones de consentimiento detalladas. Cookiebot CMP también permite a los usuarios rechazar o retirar fácilmente el consentimiento, de acuerdo con los requisitos de la AEDP.
Cookiebot CMP es compatible con 48 idiomas, entre ellos castellano, catalán y euskera, por lo que puedes configurarlo para que muestre un banner de cookies según la configuración del navegador del usuario.
3. Realizar una auditoría de las cookies de su sitio web
Necesitas saber qué cookies utiliza tu sitio web para cumplir el requisito de incluirlas en el banner de consentimiento de cookies. Cookiebot CMP cuenta con la mejor tecnología patentada del mercado para detectar todas las cookies y rastreadores implementados en tu sitio web y facilitar el cumplimiento de este requisito.
4. Evitar los muros de cookies
Los muros de cookies que obligan a los usuarios a aceptar cookies para acceder al contenido del sitio contravienen las directrices de AEPD. Si no puedes evitar el uso de un muro de cookies, asegúrate de proporcionar una auténtica alternativa para que los usuarios accedan a tu sitio web o aplicación sin aceptar las cookies.
5. Renovar el consentimiento
Sigue las prácticas recomendadas de la AEPD en cuanto a la duración de las cookies y asegúrate de obtener el nuevo consentimiento de los usuarios a intervalos adecuados, no superiores a 24 meses. Si se producen cambios en tu política de cookies o en los fines de una cookie, debes solicitar a los usuarios que vuelvan a confirmar su consentimiento, aunque ya te lo han dado y la duración de la cookie no haya caducado.
Preguntas frecuentes
Las leyes de cookies de España hacen referencia a las normativas que rigen el uso de cookies y tecnologías de seguimiento similares en los sitios web. Estas normativas se derivan de la Directiva ePrivacy de la Unión Europea y se ajustan al Reglamento General de Protección de Datos (RGPD). La Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) y la Ley de servicios de la sociedad de la información y de comercio electrónico (LSSI) incluyen disposiciones específicas relativas al uso de cookies. La normativa exige que los sitios web obtengan el consentimiento explícito e informado de los usuarios para las cookies no esenciales y que proporcionen información clara sobre las cookies que se utilizan, su finalidad y los datos que recopilan.
La adaptación del Reglamento General de Protección de Datos (RGPD) en la legislación española se realizó a través de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), que adapta y aplica las disposiciones del RGPD, aunque también cubre aspectos no contemplados en el RGPD como la protección de datos en el entorno laboral.
No todas las cookies requieren consentimiento según la ley de cookies en España. No se requiere consentimiento para determinados tipos de cookies que son estrictamente necesarias para el funcionamiento básico del sitio web. Entre ellas se incluyen las que permiten la comunicación entre el ordenador del usuario y la red o las cookies que proporcionan un servicio solicitado explícitamente por el usuario (por ejemplo, las cookies del carro de la compra en tiendas online). Sin embargo, para la mayoría de los demás tipos de cookies, especialmente las que se utilizan en el seguimiento, el análisis y la personalización, se requiere el consentimiento explícito.
Los sitios web y las aplicaciones que no cumplan las leyes de cookies en España pueden afrontar importantes consecuencias legales. En virtud de la LOPDGDD, que incorpora la estructura de sanciones del RGPD, las multas por incumplimiento pueden alcanzar hasta 20 millones de euros o el 4 % de la facturación anual global total de la empresa, lo que sea mayor. La Agencia Española de Protección de Datos (AEPD) exige el cumplimiento de estas normativas y está facultada para imponer multas y otras sanciones.
Las leyes de cookies en España se aplican a una amplia gama de servicios y plataformas online, entre los que se incluyen sitios web, aplicaciones móviles y cualquier otra entidad digital que interactúe con usuarios en España. Estas leyes son extraterritoriales, es decir relevantes para cualquier servicio dirigido a usuarios españoles, aquellas que procesan datos de personas en España, ofrecen bienes o servicios a residentes en España o que rastrean su comportamiento dentro del país, independientemente de dónde se sitúa la empresa que realice dichas actividades. Asimismo, una empresa española que haga lo propio con usuarios, por ejemplo, de Brasil, estará sujeto a la LGPD brasileña y no a las leyes de cookies españolas para esas actividades.