FAQs sobre cumplimiento normativo de cookies. Escrito por: Id law Partners / BGMA (Brugueras, García-Bragado, Molinero & Asociados) especializado en el campo jurídico de las tecnologías de la sociedad de la información y la propiedad industrial e intelectual.

¿No está prohibido utilizar cookies?

 No. Lo que sí está prohibido es utilizarlas sin cumplir con los requisitos legales.

 ¿Cuáles son dichos requisitos legales?

Para determinados usos de cookies existe la obligación de ofrecer una serie de información y de obtener el consentimiento previo de los usuarios de la web antes de que se le “instalen” lascookies.

¿Qué riesgos jurídicos existen?

El más claro es que si el incumplimiento de las obligaciones sobre cookies es leve (por ejemplo ofrecer información incompleta) las sanciones administrativas pueden ser de hasta 30.000€  pero si la infracción es grave (por ejemplo no ofrecer ninguna información ni obtener el consentimiento de los usuarios) pueden ser sanciones de hasta 150.000€. Hay quien ha apuntado incluso hipotéticas responsabilidades penales pero esta opinión es una postura actualmente muy minoritaria. En cambio, aunque aún no constan casos, es más probable que en el futuro sí haya sanciones vinculadas a incumplimientos respecto al tratamiento de los datos personales obtenidos a través de las Cookies (es decir, incumplimientos vinculados no al uso de Cookiessino a la no aplicación de la Ley Orgánica de Protección de Datos Personales –LOPD- a los datos recogidos por dichas vías).

¿Cumplo con la Ley si simplemente añado un Banner o Pop-Up informando de que utilizo cookies?

No. Más allá de que habría que ver si has ofrecido toda la información necesaria en dicho Banner, hay que ofrecer otro nivel de información mucho más detallado (que no es obligatorio que esté en dicho Banner, entre otras cosas porque tanta información no cabría en un Banner). Además el consentimiento informado de los usuarios par el uso de cookies debe ser previo a la “instalación” de las mismas en el navegador del usuario. Además habría que comprobar si ya estamos aplicando, o no, todas las obligaciones de la LOPD respecto a los datos personales que obtengamos con dichas cookies.

Conviene resaltar que en la actualidad la Agencia Española de protección de Datos ya ha abierto un procedimiento sancionador contra una web que sí informaba del uso de cookies pero lo hacía de forma negligente y las instalaba sin el consentimiento previo.

¿Tengo que asegurarme que el usuario lea la información?

No. La Ley sólo nos obliga a ofrecerla a todos los usuarios para que puedan leerla antes de prestar su consentimiento. Es probable que la mayoría de usuarios no la lean aunque sí presten su consentimiento. Pese a ello, la información debe ser exacta, clara y accesible pensando tanto en el pequeño porcentaje de usuarios que sí la leerán como en que de otra forma la AEPD podría llegar a aplicar sanciones.

¿Mis usuarios pueden consentir de forma implícita?

Sí, la buena noticia es que la AEPD lo permite. Hay muchos requisitos legales pero si se cumplen y se implementan de forma correcta la diferencia para el usuario estándar casi será imperceptible (por ejemplo la simple incorporación de un Banner y una –menos visible- incorporación de links a la Política de Cookies).

¿En realidad todos los Banners y Pop-up’s dicen lo mismo, no? ¿Puedo copiar lo que diga otra web o saber si la información de mi web es incorrecta comparándola con otra?

No, son Banners o Pop-up’s parecidos en su estructura y forma pero deben estar adaptadas a cada web porque no todas las webs utilizan las mismas cookies (por ejemplo hay webs que utilizancookies exentas de estas obligaciones legales), ni las utilizan de la misma forma ni para las mismas finalidades. También la Política de Cookies debe ser distinta en función de lo indicado anteriormente. Una mala copia de un Banner podría generar, como mínimo, un incumplimiento leve de la normativa.

Utilizo unas cookies que creo que pueden entrar en la definición de cookies exentas de la Ley. ¿Entonces no estoy obligado a hacer nada?

Puede ser el caso. Sin embargo la AEPD ha indicado que hay numerosas formas de utilizarcookies exentas (se considera que hay 7 grandes grupos de cookies exentas) en las que el “editor web” está extralimitándose de lo que está exento y, por tanto, debe informar y requerir el consentimiento de sus usuarios.

¿La información sobre cookies es algo que pueda dar sólo una vez y olvidarme de ello?

No. Incluso los usuarios que han prestado su consentimiento deben de poder acceder de forma fácil a la información más detallada sobre cookies o “Políticas de Cookies”.

¿Tengo que pedir el consentimiento del usuario cada vez que visite mi web para instalarle cookies?

No. Si es seguro que tienes su consentimiento (imaginemos un caso fácil un usuario de un Red Social que ha prestado su consentimiento para las cookies vinculadas a las funcionalidades de su perfil personal) no debes de volver a pedírselo salvo en determinados escenarios, por ejemplo, que modifiques la forma y finalidades para las que utilizas las cookies.