Cada cierto tiempo las cookies se ponen en boca de todos y 2024 está siendo su año. ¿Cómo cumplir la ley de cookies en 2024? es la pregunta que más repite entre los responsables de webs, e-commerce y blogs.

Mientras esperamos la probación definitiva del Reglamento de Eprivacy, el Comité Europeo de Protección de Datos publicó en febrero de 2023 las Directrices 03/2022 sobre patrones engañosos en redes sociales y puso encima de la mesa la necesidad de revisar las políticas de uso de cookies en nuestras webs para ajustarnos no sólo a lo establecido por el Reglamento General de Protección de Datos, sino también a las nuevas tecnologías y formas de utilizar los datos recopilados a través de las cookies y tecnologías similares. Vamos a intentar simplificar esta tarea.

Cumplir puede ser sencillo o complejo en función de la configuración de la página web, de la publicidad que incluya, de la existencia de plugins y, en definitiva, de usos que impliquen la captación de información por parte del prestador de servicios o de terceros. En cualquier caso requiere una evaluación de nuestras webs para ajustarlas a los principios fundamentales en materia de privacidad.

Pida cita usando este formulario

☎ Teléfono de cita previa: 96-381-56-71 y 902-11-00-88

Cambios importantes que trae consigo la nueva Ley

2024 ha traído la entrada en vigor de los criterios interpretativos del Comité Europeo de Protección de Datos para ajustar el tratamiento de las cookies dados por la directiva de E-Privacy pero a la luz de las nuevas exigencias en materia de protección de datos personales introducidas por el Reglamento Europeo de Protección de Datos.

Respecto de las obligaciones que se imponen todo prestador de servicios, el artículo 22 de la Ley de Servicios de Sociedad de la Información exige que se informe suficientemente al usuario de que se van a instalar cookies en su ordenador y que el usuario manifieste su consentimiento antes de dicha instalación.

La información ofrecida en ese momento inicial debe ser clara y precisa, no es suficiente con clausulas genéricas sobre la instalación de cookies del tipo “este sitio utiliza cookies”, si no que bien al contrario debe determinarse qué cookies y para qué se usan. Como es normal esa información debe ser sucinta, pero al mismo tiempo clara y que no induzca a errores.

Además de esa información inicial, se debe detallar el funcionamiento de las cookies en nuestro sitio, completando la información resumida que se ha ofrecido de forma inicial, hasta completar de esta forma una política de cookies completa.

Por último, es necesario informar al usuario de qué son las cookies para qué se usan y cómo puede configurar su navegador para usarlas o no.

Lo fundamental por lo tanto es ofrecer al usuario una imagen fiel de la información que va a ser utilizada mediante la grabación de archivos de seguimiento en su sistema. Así el usuario podrá consentir con conocimiento suficiente de lo que acepta.

La información debe permitir que lo entienda alguien que no sepa qué son las cookies (lo cual no deja de ser harto complicado).

Con los nuevos criterios se posibilita los llamados «muros de cookies» es decir, impedir el acceso a determinada información o servicios si no se aceptan las cookies, eso sí, ofreciendo una alternativa a la aceptación que no necesariamente debe ser gratuita.

También se ofrece una nueva regulación a las cookies de personalización, diferenciándose entre aquellas derivadas de la elección del usuario (que tendrán la consideración y técnicas y por ello sin necesidad de consentimiento) y las que adopta el propio gestor del servicio (por ejemplo idioma en función de la localización del usuario) que deberán ser objeto de opción de ser aceptadas o rechazadas.

ley de cookies 2024

¿Cuáles son las obligaciones de las empresas?

Las empresas que gestionan una web, en primer lugar deben recabar el consentimiento del usuario para el uso de cookies durante su navegación.

Para que el consentimiento sea válido, debe venir precedido de una información clara, transparente y suficiente. Aunque es posible ofrecer la información de otras formas, la más habitual y cómoda para el usuario es la información por capas.

La información por capas implica que se ofrece información limitada en un primer aviso, presente desde el inicio de la navegación, y se ofrece una información más extensa y detallada en una segunda ubicación a la que se debe acceder de forma sencilla y directa. Traducido en nuestras webs, supone que tengamos un aviso inicial y una política de cookies extensa en una página específica a la que se pueda acceder simplemente clickando en un link que esté incluido en el propio aviso inicial (es decir, que no tenga que buscarlo).

Ese aviso inicial tendrá que informar:

  • Identificación del responsable, es decir, quién gestiona la web
  • Identificación de las finalidades de las cookies. Pero de las finalidades reales, nada de frases genéricas y biensonantes como «para mejorar su experiencia de usuario» o «para facilitar la navegación de la web».
  • Información de las cookies propias o de terceros que utiliza, sin necesidad de enumerar a todos ese terceros en este primer aviso (pero sí en la política de cookies).
  • Información genérica sobre el tipo de datos que recopilan esas cookies.
  • Enlace claramente visible a la segunda capa de información con una expresión inequívoca, tal como «política de cookies», «más información aqui» o cualquier otro similar.
  • Botones de gestión de las cookies:
    • ACEPTAR
    • RECHAZAR
    • Panel de configuración en el que se pueda ajustar qué tipos de cookies aceptar y cuales no.
  • La nueva Ley de Cookies establece que no podrá proponerse la aceptación como imperativa u obligatoria ni inducir al usuario a aceptar la cookies propuestas.

El consentimiento a la instalación de la cookie puede ser:

  • Expreso: clickar el botón acepto. No será suficiente aceptar las condiciones de uso de la web o el uso de botones u opciones de configuración de la web (por ejemplo elección del idioma). Sólo el botón expresamente dedicado a «aceptar» las cookies será la manifestación del consentimiento informado del usuario.
  • Explícito: actuaciones positivas del usuario que impliquen su aceptación. Debe tratarse de una afirmación clara y positiva. De esta forma podemos decir que sólo las acciones dirigidas a la aceptación de las cookies, habiendo recibido información suficiente sobre las mismas, serán válidas a los efectos de tener por consentido su uso.

A partir por lo tanto de 2024 queda excluido presumir la aceptación del usuario o inferir su consentimiento de acciones positivas del mismo, tales como la navegación por la web (es decir, clickar cualquier enlace interno), el scroll en la misma página o incluso la lectura y permanencia en la página durante un periodo suficiente para haber leido la advertencia de instalación de cookies y no haber rechazado las mismas.

En tanto en cuanto el usuario no consienta, será imperativo que el gestor del servicio (la empresa que gestiona la página web) evite la inclusión de cookies en el ordenador del visitante.

¿Qué riesgos se corren por no cumplir la Ley de Cookies?

Las sanciones a las que se enfrenta la empresa incumplidora de la Ley de cookies de 2024 dependerá del tipo de cookies, la finalidad para la que son utilizadas y, por supuesto, la entidad de la infracción.

En la práctica, quedando el cumplimiento de los requisitos vinculado a la normativa en materia de protección de datos, las sanciones pueden ir desde la mera advertencia hasta los 20 millones de euros (o el 4% de su facturación anual).

En la práctica la mayoría de las sanciones se basan en la falta de información adecuada y suficiente, suelen estar en el entorno de los 30.000 euros. También hemos encontrado sanciones más cuantiosas como aquella impuesta a una empresa de telecomunicaciones por no tener un banner de cookies que funcionara correctamente.

¿Cómo puedo proteger mi empresa?

Estos consejos en ningún caso sustituyen al asesoramiento de un profesional en auditoría de cookies. Para muchos usuarios las indicaciones recopiladas y explicadas en nuestra guía pueden ser suficientes para saber cómo cumplir con la ley. Pero en todos aquellos supuestos en los que la web revista especial complejidad no debe dudar en acudir a abogados expertos en comercio on line y nuevas tecnologías para realizar su auditoría de cookies.

Del mismo modo que copiar las condiciones de privacidad de otra web no hace que la nuestra cumpla con la Ley de Protección de Datos, copiar la forma en la que se anuncian las cookies en otra web no es suficiente para que la nuestra cumpla con las obligaciones legales.

Por ello es mejor que cada responsable web se tome un tiempo para reflexionar y estudiar su sitio web, que invierta tiempo en entender sus cookies, y así podrá adaptar su política a la realidad o bien decidir que necesitas el asesoramiento de expertos.

Abogados en Madrid, Valencia, Salamanca, Valladolid

Jesús P. López Pelaz

Director y Fundador de Abogado Amigo

Entusiasta padawan de las enseñanzas Jedi, alumno de Hogwarts especializado en Defensa contra las Artes oscuras, recluta en la flota estelar de la Federación de Planetas y aplicado estudiante en las artes frikis

Licenciado en Derecho por la Universidad de Valladolid, Máster MBA Internacional en Administración y Dirección de empresas por la Universidad Camilo José Cela y Máster en Sistemas de la Información y Nuevas Tecnologías (TIC´s) por la Universidad de Valencia.

Miembro Consultivo del Instituto de Derecho y Políticas Publicas Iberoamericano y del Caribe de la China University of Political Science and Law de Beijing. Ponente y docente en Universidad CEU Cardenal Herrera, ESIC Valencia, Universidad Politécnica de Valencia y Universidad Sergio Arboleda de Bogotá (Colombia). Profesor en el Master de Experto en Redes Sociales de la Universidad de Alicante y AERCO.

Partner para España de Meplaw International Law Firm

Certificado en Foundation de ITIL, Cobit5, PRINCE2 y Business IT.

Miembro del Ilmo. Colegio de Abogados de Valencia y del Colegio Oficial de Publicitarios y Relaciones Públicas de la Comunidad Valenciana, Miembro de APEP, Asociación Profesional Española de Privacidad, y de ISACA, Information Systems Audit and Control Association.

Participa frecuentemente en eventos y cursos relacionados con el lanzamiento de empresas innovadoras y StartUp, Derecho Mercantil y Societario, Derecho y Nuevas Tecnologías de la Información, Derecho de Redes Sociales, Reputación on line y desarrollo de Negocios en Internet.

Colabora frecuentemente con diferentes blogs y webs jurídicas y tecnológicas. Presidente de Honor de ELSA-Castilla y León desde 2001 y patrón de ELSA Valencia.

Ver publicaciones del autor Ver mi perfil

Noticias relacionadas

Abogado Amigo Civil
Modificación de medidas y revisión de custodia
Dada la especial naturaleza de las relaciones familiares y su...
Leer más
Abogados Expertos en Nuevas Tecnologías
El Testamento Digital
Es necesario plantear una reflexión sobre el documento que debemos...
Leer más
Abogado Amigo Civil
La Cuestión Prejudicial ante el Tribunal de...
La Cuestión Prejudicial Europea permita a los jueces y tribunales...
Leer más
Abogado Internacional
Avvocato esperto in Nuove Tecnologie in Spagna
Le nuove tecnologie dell’informazione (TIC) costituiscono un ambito fondamentale nella...
Leer más
Valor catastral impugnación de valoras abogados expertos
¿Sirve el carnet de conducir para identificarse?
Es bastante extendida la opinión de que el dni y...
Leer más
Abogado Amigo Civil
¿Qué es un albacea testamentario y qué...
Las facultades del albacea vienen reguladas por el Código Civil...
Leer más