Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSI),resulta aplicable a las cookies, entendidas como cualquier tipo de dispositivo de almacenamiento y recuperación de datos que se utilice en el equipo terminal de un usuario con la finalidad de almacenar información y recuperar la información ya almacenada, según establece el artículo 22.2 de la LSSI.
La gestión de un sitio web, generalmente requiere el uso de estadísticas de tráfico o de rendimiento, que a menudo son esenciales para la prestación del servicio. Una de las soluciones técnicas para recabar la información necesaria y proceder a elaborar dichas estadísticas es el uso de dispositivos de almacenamiento y recuperación de datos: cookies o tecnologías similares.
“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”.
Atendiendo a la tipología de cookies según su finalidad nos encontramos con las Cookies de análisis o medición: son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.
Los análisis son instrumentos de medición estadística de audiencia de los sitios web que suelen basarse en cookies. Estos instrumentos son utilizados por los propietarios de sitios web para estimar el número de visitantes especiales, detectar las principales palabras clave de los motores de búsqueda que conducen a una página web o rastrear aspectos de la navegación en el sitio web.
Respecto al tratamiento de datos recabados a través de las cookies de análisis, el GT29 en su Dictamen 4/2012 sobre cookies manifestó que, a pesar de que no estaban exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que:
- se trate de cookies de primera parte.
- se traten datos agregados con una finalidad estrictamente estadística.
- se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.
Por tanto, además de las ya exentas cookies técnicas y de sesión dejaba la puerta abierta a que este tipo de cookies de análisis pudiesen estar exentas del consentimiento.
Pues bien, teniendo en cuanta lo anteriormente expuesto como precedente, la Agencia Española de Protección de Datos (en adelante, “AEPD”) ha publicado la Guía sobre el uso de cookies para herramientas de medición de audiencia con fecha de 11 de enero de 2024, de forma complementaria y coincidiendo con la plena aplicabilidad de los últimos cambios impuestos por la AEPD en su última Guía sobre el uso de cookies siguiendo las directrices del Comité Europeo de protección de datos, y que puedes consultar en una entrada anterior en nuestro Blog.
Con la publicación de esta Guía la AEPD permite que determinadas cookies utilizadas para conseguir estadísticas de tráfico o de rendimiento en la medida en que son esenciales para la prestación del servicio puedan estar exceptuadas de la obligación de recabar el consentimiento de los interesados, bajo ciertas condiciones y garantías:
Nuestra Autoridad de control entiende que para que no sea necesario recabar el consentimiento de conformidad con el artículo 22.2 de la Ley 34/2002, de 11 de julio, estas cookies o tecnologías similares han de presentar las siguientes características:
1.-Tener una finalidad estrictamente limitada a la medición exclusiva de la audiencia del sitio o de la aplicación.
2.-Dicho tratamiento ha de ser realizado en nombre exclusivo del editor o bien por un proveedor de servicios de medición de audiencia que actuará en calidad de encargado de tratamiento y deben ser utilizadas para producir datos estadísticos anónimos únicamente.
3.-No deben dar lugar a que los datos se cotejen con otras operaciones de tratamiento o a que los datos se transmitan a terceros.
4.-No debe permitir el seguimiento agregado de la navegación por la persona que utiliza diferentes aplicaciones o navega por distintos sitios web.
5.-No se utilice el mismo identificador en varios sitios para hacer referencias cruzadas, duplicar o medir una tasa de alcance unificada de un contenido.
De tal forma que la AEPD considera que para una correcta administración de un sitio web únicamente serán estrictamente necesarias las siguientes mediciones:
- Medición de audiencia, página por página.
- La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual (a veces llamada «referente»), ya sea interna o externa al sitio, por página y agregada diariamente.
- Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente.
- Estadísticas de tiempo de carga de la página, por página y agregadas por hora.
- Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente.
- Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente.
- Estadísticas sobre la zona geográfica de origen de las solicitudes, por página y agregadas diariamente.
GARANTÍAS QUE HAN DE CUMPLIR LAS COOKIES PARA ESTAR EXENTAS DE CONSENTIMIENTO
Si bien estás cookies exentas de la obligación de recabar el consentimiento tendrá que implementar las siguientes garantías con el propósito de respetar los derechos de las personas:
1.-Los usuarios serán informados de la utilización de estas cookies o tecnologías similares consideradas exentas con el propósito de medición de audiencias, por ejemplo, a través de la política de privacidad del sitio o la Aplicación móvil;
2.-La vida útil de estas cookies o tecnologías similares se limitará a un período que permita una comparación significativa de audiencias a lo largo del tiempo, como es el caso de una duración de trece meses, y que no se extenderá automáticamente en nuevas visitas.
3.-La información recopilada a través de estas cookies o tecnologías similares se conservará durante un período máximo de veinticinco meses.
4.-La vida útil y periodo de conservación mencionados anteriormente estará sujetas a revisión periódica para limitarse a lo estrictamente necesario.
GARANTÍAS ADICIONALES CUANDO EL EDITOR RECURRE A UN PROVEEDOR DE SERVICIOS DE MEDICIÓN DE AUDIENCIA
La información tratada mediante el uso de cookies con dicho fin puede ser gestionada directamente por el editor o bien por un proveedor que puede proporcionar un servicio de medición comparativa de audiencia. En ese caso, el proveedor actuaría como encargado del tratamiento de uno o varios editores.
A estos efectos se tendrán que cumplir con las siguientes garantías adicionales:
a) Tener con el proveedor un compromiso contractual que cumpla los requisitos del artículo 28 del RGPD en el que se explicite:
b) La obligación de no reutilizar los datos recopilados en ningún caso, en el marco del contrato.
c) Restringir el tratamiento de los datos a los propósitos establecidas anteriormente como estrictamente necesarios.
d) Cumplir con las garantías establecidas para el caso de dar servicio a múltiples editores. En estos casos, los datos se recopilarán, procesarán y almacenarán, de forma independiente para cada editor.
e) Que toda transferencia de datos fuera de la Unión Europea cumple con las condiciones de cumplimiento establecidas en el RGPD. Para más información sobre el marco transatlántico de privacidad pincha aquí.
f) Realizar y documentar una evaluación, por sí mismo o por un tercero independiente, de si es posible configurar, y están configuradas, las herramientas proporcionadas por el proveedor para garantizar el cumplimiento de los requisitos anteriores.
En conclusión, si bien la AEPD nos da luz verde a utilizar determinas cookies con fines de medición de rendimiento y de audiencia al considerarlas como necesarias para una adecuada administración de nuestra página web sin necesidad de recabar el consentimiento de los interesados, nos indica claramente como condición sine qua non los requisitos y garantías de obligado cumplimiento.
Por lo tanto, cualquier otro tratamiento de los datos más allá de lo que nos ha permitido la AEPD en esta guía tanto por el editor como por el proveedor ha de contar con el consentimiento del interesado para ser considerado lícito, especialmente en aquéllos casos en que una misma cookie pueda utilizarse para diversas finalidades, de tal forma que únicamente podrá estar exento del requisito de consentimiento si todas y cada una de las finalidades para las que se utilice están individualmente exentas del requisito de consentimiento.