Las cookies nos persiguen al navegar por Internet, en la mayoría de los casos para personalizar la experiencia de usuario. La clave es discernir qué cookies aceptamos expresamente.
Muchos usuarios sienten desconfianza hacia las cookies; debido a la cantidad de información que almacenan pueden comprometer su privacidad en internet. Las cookies pueden desempeñar una gran variedad de tareas: como, por ejemplo, saber la última visita que realizó una persona a una página determinada, o incluso guardar la información de todos los artículos que alguien ha puesto en su carrito de compras.
En este post, al amparo de la normativa vigente aplicable el uso de las cookies, y apoyándonos en la Guía de Cookies de 2022, emitida por la Agencia Española Protección de Datos (AEPD), nos centraremos en el consentimiento del usuario, siendo definitivamente la protección del mismo la piedra angular de la normativa.
Como punto de partida, con referencia al artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico, (en adelante LSSI), podemos definirlas como cualquier tipo de dispositivo de almacenamiento y recuperación de datos que se utilice en el equipo terminal de un usuario con la finalidad de almacenar información y recuperar la información ya almacenada. Por equipo terminal nos referimos, por ejemplo, a un ordenador, teléfono móvil o tablet.
El consentimiento en las cookies
Para poder llevar a cabo la utilización de cookies no exceptuadas es necesario el consentimiento del usuario. En aquellos casos en que un editor ofrece a los usuarios cookies con la finalidad exclusiva de la navegación por la página web, no será necesario que informe de su utilización ni que obtenga el consentimiento.
Existen múltiples formas de poder expresar el consentimiento. Se puede obtener mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares.También podrá obtenerse infiriéndolo de una inequívoca acción realizada por el usuario, en el caso que este haya facilitado información clara y accesible sobre las finalidades de las cookies
En ningún caso la mera inactividad del usuario implica del usuario implica la prestación del consentimiento por sí misma, de forma que quepa entender que el usuario acepta que se instalen cookies.
Es necesario advertir que, en caso de que no se acepte la utilización de cookies, se puede impedir el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies.
Para que dicho consentimiento sea válido será necesario que el consentimiento haya sido otorgado de forma libre e informada. De conformidad con el apartado 2 del artículo 22 de la LSSI el consentimiento debe ser prestado por los “destinatarios” de los servicios de la sociedad de la información. La determinación de qué método será apropiado para obtener el consentimiento para usar cookies dependerá del tipo de cookies que se van a utilizar, de su finalidad y de si son propias o de terceros.
La LSSI también hace mención al consentimiento de menores de 14 años, cuando la página web o servicio se dirige específicamente va dirigido a menores. Esto conlleva la necesidad de adoptar cautelas adicionales como son una mayor sencillez y claridad del lenguaje empleado. En este caso podrá obtenerse previa advertencia o llamada dirigida al menor indicándole en la primera capa informativa que, si tiene menos de 14 años, antes de seguir navegando, avise a su padre, madre o tutor para que acepte, configure o rechace las cookies, evitando, por tanto, solicitar datos adicionales del menor o del titular de la patria potestad o tutela.
En el caso de que el prestador de servicios realice cambios en el uso de las cookies, como regla general, siempre que un consentimiento haya sido obtenido de forma válida, no será necesario obtenerlo cada vez que un usuario visite de nuevo la misma página web desde la que se presta el servicio. En todo caso, es evidente que, si los fines de uso de las cookies o los terceros que hacen uso de las cookies cambian después de haber obtenido el consentimiento, será necesario actualizar la política de cookies y permitir a los usuarios tomar una nueva decisión.
La Agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses. Los usuarios podrán retirar el consentimiento en cualquier momento, teniendo la obligación el editor de facilitar el acceso al sistema de gestión o configuración de las cookies.
Para finalizar, mencionaremos que el uso de las cookies pueden ser objeto de usurpación por ciberdelincuentes. Para el robo de la cookie de sesión no es necesario aprovechar una vulnerabilidad como tal, sino que los ciberatacantes establecen un servidor web entre el usuario y la página legítima para interceptar el proceso de inicio de sesión, de esta forma pueden obtener tanto las credenciales como la cookie. Mediante este procedimiento, los ciberatacantes pueden lograr acceder a las cuentas de correo o de otros servicios web propiedad de los usuarios usurpados.
Por lo tanto, os instamos a tomar ciertas precauciones con las cookies que aceptáis, sin perjuicio de que, en la mayoría de los casos, son necesarias para una mejor experiencia de usuario en las webs visitadas e insistir en que vuestro consentimiento debe ser expreso.
