Àmbit
Jurídic

Tot el que cal saber per gestionar correctament les cookies del lloc web

Entitat redactora
Suport Tercer Sector - Jurídic
Autor/a
Sandra Pulido

En aquest àmbit la normativa estableix que s'ha de comunicar la informació de forma clara i senzilla, i cal demanar el consentiment per a la seva acceptació. El 2023, a més, s'han incorporat petites novetats que cal tenir en compte.

Actualment, la gran majoria d’entitats sense ànim de lucre tenen lloc web on donar a conèixer la seva activitat. De fet, en certs casos, com ara les fundacions, disposar d’un portal web és obligatori per complir amb els requisits de transparència.

Tenir un web, però, implica una sèrie d’obligacions legals. Aquí és on s’emmarca la necessitat de comunicar i obtenir el consentiment per a l’ús de les cookies o galetes, tal com estableix la normativa en l'àmbit europeu i espanyol.

Amb aquest recurs es fa un repàs de les principals qüestions que han de tenir en compte les entitats per complir la política de galetes. En aquest sentit, l’Agència Espanyola de Protecció de Dades (AEPD) té una 'Guia sobre l’ús de les cookies' a partir de la normativa vigent:

A més a més, la darrera versió del document incorpora les Directrius 03/2022 sobre patrons de disseny enganyosos en interfícies de plataformes de xarxes socials. Per tant, si bé la normativa és aplicable des de fa anys, és important que les entitats del tercer sector estiguin al dia dels canvis per poder-se adaptar.

Índex

Què és una cookie?

Una cookie o galeta és un fitxer de dades que els llocs web envien automàticament als dispositius de les persones usuàries que hi accedeixen. Per tant, qui fa la visita al portal web emmagatzema al seu terminal unes dades.

El Reglament General de Protecció de Dades de la Unió Europea (GDPR) estableix que els llocs web han d’avisar i preguntar si es volen instal·lar les galetes. Per això, constantment apareixen avisos quan es navega per internet.

Les galetes permeten al portal web recordar el dispositiu de la persona usuària i les accions. Per exemple, es fan servir quan es recorden les credencials d’accés d’una sessió a una altra o l’idioma. Això, de fet, pot facilitar la navegació. Les cookies també poden donar informació dels hàbits de navegació dels usuaris i usuàries, per exemple, sobre les pàgines que es visiten.

Tipus de cookies

La guia de l’AEPD estableix les següents categories de galetes.

Segons qui les gestiona:

  • Pròpies: les envia i gestiona l’editor/a del web que s’està visitant.
  • De tercers: instal·lades i gestionades per una altra empresa diferent a la del portal. Permeten crear perfils dels gustos dels usuaris/es, ja que poden tenir dades de diversos portals. Cal tenir en compte que cada cop més navegadors estan eliminant les galetes de tercers.

Segons la seva finalitat:

  • Tècniques: permeten optimitzar o millorar el funcionament del web, per exemple, per gestionar un pagament, identificar la sessió, comptar les visites, habilitar continguts dinàmics... Les galetes tècniques, en general, queden fora de les obligacions establertes per l’LSSI, perquè “permeten oferir el servei sol·licitat per l’usuari”. Aquestes galetes no es poden fer servir amb altres objectius. No obstant això, com a novetat, si les decisions són preses per qui edita el web a partir de la informació del/la visitant (per exemple, l’idioma es posa en funció de l’idioma del cercador de la persona usuària i no com a elecció), cal informar i donar l’opció d’acceptar-les o no.
  • De preferències o personalització: permeten personalitzar l’experiència dels usuaris/es, per exemple, l’idioma. En aquest cas, si l’usuari/ària determina aquestes preferències a través de les seves accions, com ara seleccionant l’idioma, també queden fora de les obligacions de l’LSSI.
  • D’anàlisi o mesurament: permeten fer el seguiment i l’anàlisi dels comportaments de l’usuari/a dins del web per tal d’aplicar posteriorment millores.
  • De publicitat conductual: permeten emmagatzemar informació del comportament de l’usuari/a a partir de la seva navegació i crear perfils específics per poder mostrar la publicitat segons els gustos.

Segons el temps que estan actives:

  • De sessió: només recullen dades que són rellevants durant la sessió i, per tant, en finalitzar-la desapareixen.
  • Persistents: les dades continuen emmagatzemades al terminal i poden ser tractades durant un temps variable que defineix el/la responsable de les galetes (des d’uns minuts a uns anys). Es recomana el mínim ús de cookies d’aquest estil i, en cas necessari, de la mínima durada possible. Perquè no s’hagi d’informar el consentiment d’una galeta, cal que la caducitat estigui en relació amb la seva finalitat.

Per saber les galetes que utilitza un lloc web es pot fer clicant la pàgina amb el botó dret i al menú desplegable seleccionar 'inspeccionar'. A la nova finestra, s’ha de clicar 'aplicació', situat a la part superior, i després a l'apartat 'cookies' es poden veure les que hi ha instal·lades.

Obligacions

La normativa estableix dues obligacions legals respecte de les galetes: d’una banda, la transparència i, de l’altra, l’obtenció del consentiment. Això significa que el gestor/a d’un web o aplicació ha de revisar (periòdicament) i identificar el tipus de galetes que s’utilitzen, per determinar si han de seguir l’establert per l’LSSI.

El dictamen sobre l'exempció del requisit de consentiment de cookies indica que les galetes que només permeten la comunicació entre l’equip de l’usuari i la xarxa, i les que presten un servei sol·licitat expressament per la persona usuària no han de seguir aquestes obligacions legals. Per tant, la resta, sí que han de complir la normativa.

Transparència

L’obligació de transparència es tradueix en el fet d’haver de donar informació de les finalitats de les galetes i de l’ús de les dades obtingudes. Això es plasma en la política de cookies (informació diferent de la política de privacitat i l’avís legal), que ha d’incloure:

  • Definició i funció genèrica de les galetes.
  • Informació dels tipus de cookies que s’empren i la seva finalitat. En cas que s’utilitzin de tercers i no es pugui oferir la suficient informació, es pot enllaçar amb el lloc web del tercer.
  • Informació de qui les tracta (l’editor/a del mateix web o una altra empresa). La identificació dels tercers es pot oferir de forma desplegable o emergent.
  • Informació de la forma d’acceptar, denegar i revocar el consentiment d’ús. Si un cop acceptades les galetes de tercers es vol canviar la configuració, s’ha d’oferir informació de com gestionar-les a través dels diferents navegadors o dels webs de les altres empreses.
  • Informació sobre les transferències de dades a tercers països que faci el mateix editor/a i remetre als webs dels tercers, en cas que siguin els que facin la transferència.
  • En cas que es creïn perfils que comportin la presa de decisions automatitzades amb efectes jurídics per a l’usuari/a, cal informar d’allò que suposa (importància i conseqüències).
  • Temps que es conserven les dades.
  • Per donar altres informacions es pot remetre a la política de privacitat.

Sovint, aquesta informació es presenta en una única pàgina web que s’enllaça a la part inferior del portal. Seguir la localització habitual permet una millor visualització.

Com s’ha de mostrar la informació

En primer lloc, cal que la comunicació sigui senzilla, amb un llenguatge clar que no provoqui confusions, i breu. Cal tenir en compte el tipus de públic a qui s’adreça el web.

També cal que la informació sigui de fàcil accés. En cas que l’usuari/a accepti l’ús de les galetes, la informació haurà de seguir sent accessible amb no més de dos clics.

La normativa recomana aportar la informació per nivells o capes, segons l’aprofundiment que vulgui fer l’usuari/a. La primera capa ha de ser visible des de l’entrada al web fins a la seva acceptació o rebuig i es pot situar en un banner, barra o similar.

En aquesta capa no s’ha de donar informació que no sigui necessària, perquè dificulta la presa de decisions. Per tant, ha d’incloure:

  • Identificació de l’editor/a responsable del lloc web (no cal la denominació social, si està visible a un altre lloc o s’identifica de manera evident).
  • Finalitat i propietat de les galetes.
  • Tipus de dades que es recopilaran, en cas que s’elaborin perfils d’usuaris.
  • Manera d’acceptar, configurar i rebutjar l’ús de les cookies, és a dir, fer la petició del consentiment.
  • Enllaç a la segona capa on s’aportarà més informació i on es podran configurar les preferències.

També han d'estar els següents botons:

  • Acceptar.
  • Rebutjar. No s’aplicarà a les galetes exemptes de consentiment. L’actualització del 2023 obliga que aquest botó sigui visible en la primera capa d’informació.
  • Configuració.

Com a novetat, també cal que els botons d’acceptar i rebutjar siguin molt similars (mida de la lletra, color...) i estiguin en la mateixa capa: “No es podrà fer la impressió que l’usuari ha d’acceptar obligatòriament les cookies per navegar pel lloc web”, tal com recull la guia. Es tracta que la informació sigui tan clara com sigui possible i que no pugui donar lloc a cap engany.

Amb els nous canvis, a més, s’ha de permetre a les persones usuàries que puguin seleccionar quines galetes volen. Per això, les persones que gestionen el lloc web hauran de tenir opció per marcar i s’haurà d’especificar quines són necessàries per al funcionament del portal.

També és important tenir present que no poden haver-hi caselles marcades prèviament en l’acceptació de les galetes.

En la segona capa, que ha de ser accessible permanentment, cal oferir la informació del tipus de cookies, qui les gestiona, com acceptar-les o denegar-les, període de conservació...

Consentiment

El consentiment s’ha de manifestar de forma expressa i evident, per exemple, a través d’un clic a un botó clarament identificat, o de qualsevol altra manera que suposi una acció inequívoca (i no complexa), sempre que s’hagi proporcionat la informació clara i accessible. En cas que es vulguin utilitzar altres mètodes, cal explicar-los. En cap cas continuar navegant pel web suposa una manera d’acceptació.

Cal especificar si el consentiment és únicament per a les galetes del web que s’està visitant o també per a les d’altres webs gestionats pel mateix editor/a o, fins i tot, si és per a les cookies d’altres empreses.

Per acceptar o no les galetes, s’han d’agrupar, com a mínim, per finalitat i també es pot fer segons el tercer, per tal que l’usuari/a pugui escollir unes o altres.

Mecanismes per demanar el consentiment:

  • Quan la persona usuària demana l’alta en un servei (s’haurà de separar d’altres condicions).
  • Quan es configura el funcionament del web o aplicació.
  • A través de plataformes de gestió del consentiment (CMP per les sigles en anglès), que apareixen, per exemple, com una finestra emergent.
  • Abans de descarregar un servei o aplicació, sempre que les cookies no siguin necessàries per al funcionament.
  • A través del format d’informació per capes.
  • A través de la configuració del navegador, sempre que es presenti el consentiment separat segons les finalitats i amb la identificació del/la responsable del tractament. No obstant això, des del web també s’ha de permetre revocar o denegar el consentiment, o donar la informació per fer-ho.

Fins i tot, és possible donar la informació i obtenir el consentiment de forma offline.

En cas dels webs dirigits a menors de catorze anys, la informació per demanar el consentiment del/la titular de la pàtria potestat o tutela ha de tenir les mínimes dades possibles i ha de ser senzilla. Per exemple, pot aparèixer un missatge que recomani avisar el pare, mare o tutor/a per acceptar les condicions.

En cas que es puguin recordar certes dades al web, caldrà demanar més informació per verificar que el consentiment és donat per la persona adulta, per exemple, indicant l’edat o any de naixement. A mesura que es vagin recopilant més dades, caldrà dificultar el procés de verificació, per exemple, amb un correu electrònic. En tot cas, es recomana no utilitzar galetes de publicitat conductual en webs dirigits a menors.

Com gestionar el consentiment

En cas que un editor/a tingui diferents webs, el consentiment donat en un dels webs podrà servir per a la resta, sempre que s’informi dels webs que s’inclouen i que siguin de continguts similars.

Quan un consentiment és obtingut de forma vàlida, no és necessari obtenir-lo cada cop que l’usuari/a accedeixi al web. Això, excepte si varien les finalitats d’ús de les cookies. A més, aquesta selecció no hauria de durar més de vint-i-quatre mesos.

L’usuari/a té dret a retirar el seu consentiment, tot i haver-lo atorgat anteriorment. Per això, cal que l’editor/a proporcioni la informació necessària per canviar aquesta preferència i ha de poder fer-ho de forma tan senzilla com es va fer l’acceptació.

La normativa també estableix que l’accés als serveis i funcionalitats no ha d’estar supeditat a l’acceptació de l’usuari/a. Per tant, tot i la no acceptació, haurà de poder accedir al web o s’haurà d’informar la persona sobre aquest tema i oferir una alternativa. Malgrat això, la nova versió aclareix que l’alternativa no haurà de ser necessàriament gratuïta.

Les novetats del 2023 s’haurà d’aplicar abans de l’11 de gener de 2024. Per aquesta raó, és pertinent que les entitats comencin a familiaritzar-se amb les obligacions. En cas de dubtes sobre aquest tema, les organitzacions no lucratives poden consultar a través dels serveis d’assessorament.

Comparteix i difon