Tot el que has de saber per gestionar les cookies del teu web

Suport Tercer Sector - Jurídic
Autor/a: 
Sandra Pulido
Per a l'ús de les cookies cal seguir les obligacions legals de transparència i consentiment. Font: Freepik.
Per a l'ús de les cookies cal seguir les obligacions legals de transparència i consentiment. Font: Freepik.
El consentiment s’ha de manifestar de forma expressa i evident, per exemple, a través d’un clic a un botó clarament identificat. Font: Unsplash.
El consentiment s’ha de manifestar de forma expressa i evident, per exemple, a través d’un clic a un botó clarament identificat. Font: Unsplash.

Tot el que has de saber per gestionar les cookies del teu web

Suport Tercer Sector - Jurídic
Resum: 

En aquest àmbit la normativa estableix que s'ha de comunicar la informació de forma clara i senzilla, i cal demanar el consentiment per a la seva acceptació.

Actualment, la gran majoria d’entitats tenen lloc web on donar a conèixer la seva activitat. De fet, en certs casos, com ara les fundacions, disposar d’un portal web és pràcticament obligatori per complir amb els requisits de transparència.

Tenir un web, però, implica una sèrie d’obligacions legals. Aquí és on s’emmarca la necessitat de comunicar i obtenir el consentiment per a l’ús de les cookies (en alguns llocs es tradueix com a ‘galetes’), tal com estableix la normativa a nivell europeu i espanyol.

L’Agència Espanyola de Protecció de Dades (AEPD) ha realitzat una guia sobre l’ús de les cookies i tecnologies similars emprades per a l’emmagatzematge i la recuperació de dades personals a través d’un terminal (ordinador, mòbil....).

Què és una cookie?

Una cookie és un fitxer de dades que els llocs webs envien automàticament als ordinadors o dispositius dels/les visitants en el moment que accedeixen a un web. El Reglament General de Protecció de Dades de la Unió Europea (GDPR) estableix que els llocs webs han d’avisar i preguntar si es volen instal·lar les cookies.

Les cookies tenen dues finalitats: recordar accessos i conèixer els hàbits de navegació. Les primeres permeten que el portal web recordi l’ordinador o dispositiu de la persona usuària i què ha fet dins del web. Això es tradueix en el fet que recorda l’accés i, per tant, no s’ha d’escriure l’usuari cada vegada que s’accedeix. També recorda l’idioma o que s’han buscat viatges a un lloc determinat, per exemple.

Les segones serveixen per conèixer informació dels hàbits de navegació dels usuaris/es. Aquí pot sorgir el conflicte, ja que aquesta informació pot ser emprada per altres empreses, com Facebook, que posen cookies a molts webs de diferent estil. D’aquesta manera, són capaces de traçar un perfil de l’usuari/a i, alhora, es ven o s’intercanvia amb altres empreses. En definitiva, l’usuari/a acaba veient publicitat ajustada als seus interessos o cerques.

Tipus de cookies

Hi ha diversa tipologia de cookies i la guia de l’AEPD estableix les següents categories, encara que poden haver-hi altres.

Segons qui gestiona les cookies:

  • Pròpies: les envia l’editor/a del web que s’està visitant i també és qui gestiona la informació.
  • De tercers: són cookies instal·lades per una altra empresa en un web que no és seu.

Segons la seva finalitat:

  • Tècniques: permeten optimitzar o millorar el funcionament del web. Permeten gestionar un pagament, identificar la sessió, comptar les visites, habilitar continguts dinàmics... Les cookies tècniques, en general, queden fora de les obligacions establertes per la llei de Serveis de la Societat de la Informació i de comerç electrònic (LSSI).
  • De preferències o personalització: permeten personalitzar l’experiència dels usuaris/es, per exemple, l’idioma. En aquest cas, si l’usuari/ària determina aquestes preferències a través de les seves accions, com ara seleccionant l’idioma, també queden fora de les obligacions de la LSSI.
  • D’anàlisi o mesurament: permeten fer el seguiment i l’anàlisi dels comportaments de l’usuari/a dins del web per tal d’aplicar posteriorment millores.
  • De publicitat conductual: permeten emmagatzemar informació del comportament dels usuaris/es a partir de la seva navegació i crear perfils específics per poder mostrar la publicitat segons els gustos.

Segons el temps que estan actives:

  • De sessió: només recullen dades que són rellevants durant la sessió i, per tant, en finalitzar-la desapareixen.
  • Persistents: les dades segueixen emmagatzemades al terminal i poden ser tractades durant un temps variable que defineix el/la responsable de les cookies (des d’uns minuts a uns anys). Es recomana el mínim ús de cookies d’aquest estil i, en cas necessari, de la mínima durada possible. Perquè no s’hagi d’informar el consentiment d’una cookie, cal que la caducitat estigui en relació amb la seva finalitat.

Per saber les cookies que utilitza un lloc web es pot fer clicant la pàgina amb el botó dret i en el menú desplegable seleccionar 'inspeccionar'. A la nova finestra, clicar 'aplicació', situat a la part superior, i després a l'apartat 'cookies' es poden veure totes les que hi ha instal·lades.

Obligacions

La normativa estableix dues obligacions legals respecte de les cookies: d’una banda, la transparència i, de l’altra, l’obtenció del consentiment. Això significa que el gestor/a d’un web o aplicació ha de revisar (periòdicament) i identificar el tipus de cookies que s’utilitzen, per determinar si han de seguir l’establert per la LSSI.

El dictamen sobre l'exempció del requisit de consentiment de cookies indica que les cookies que només permeten la comunicació entre l’equip de l’usuari i la xarxa, i les que presten un servei sol·licitat expressament per la persona usuària no han de seguir aquestes obligacions legals. Per tant, la resta, sí que han de complir la normativa.

Transparència

L’obligació de transparència, es tradueix en haver de donar informació de les finalitats de les cookies i de l’ús de les dades obtingudes. Això es plasma en la política de cookies (informació diferent de la política de privacitat i l’avís legal), que ha d’incloure:

  • Definició i funció genèrica de les cookies.
  • Informació dels tipus de cookies que s’empren i la seva finalitat. En cas que s’utilitzin cookies de tercers i no es pugui oferir la suficient informació, es pot enllaçar amb el lloc web del tercer.
  • Informació de qui tracta les cookies (l’editor/a del mateix web o una altra empresa). La identificació dels tercers es pot oferir de forma desplegable o emergent.
  • Informació de la forma d’acceptar, denegar i revocar el consentiment d’ús. Si un cop acceptades les cookies de tercers es vol canviar la configuració, s’ha d’oferir informació de com gestionar-les a través dels diferents navegadors o dels webs de les altres empreses.
  • Informació sobre les transferències de dades a tercers països que faci el mateix editor/a i remetre al web dels tercers, en cas que siguin aquests els que facin la transferència.
  • En cas que es creïn perfils que comportin la presa de decisions automatitzades amb efectes jurídics per a l’usuari/a, cal informar del que suposa (importància i conseqüències).
  • Temps que es conserven de les dades.
  • Per a donar altres informacions es pot remetre a la política de privacitat.

Sovint, aquesta informació es presenta en una única pàgina web que s’enllaça a la part inferior del portal. Seguir la localització habitual permet una millor visualització.

Com s’ha de mostrar la informació

En primer lloc, cal tenir present que la comunicació ha de ser senzilla, amb un llenguatge clar, i breu. Cal tenir en compte el tipus de públic a qui va adreçat el web, per tant, no serà la mateixa informació si el web està dirigit a persones grans o a infants, que si parla sobre temes informàtics. En qualsevol cas, s’ha d’evitar l’ús d’expressions que puguin portar a la confusió.

També cal que la informació sigui de fàcil accés. En cas que l’usuari/a accepti l’ús de les cookies, la informació d’aquestes haurà de seguir sent accessible amb no més de dos clics.

La normativa recomana aportar la informació per nivells o capes, segons l’aprofundiment que vulgui fer l’usuari/a. La primera capa ha de ser visible des de l’entrada al web fins a la seva acceptació o rebuig i es pot situar en un banner, barra o similar, a la part superior de la pàgina, que és la que millor capta l’atenció.

En aquesta capa no s’ha de donar informació que no sigui necessària, perquè dificulta la presa de decisions. Per tant, ha d’incloure:

  • Identificació de l’editor/a responsable del lloc web (no cal la denominació social, si està visible a un altre lloc o s’identifica de forma evident).
  • Finalitat i propietat de les cookies.
  • Tipus de dades que es recopilaran, en cas que s’elaborin perfils d’usuaris.
  • Manera d’acceptar, configurar i rebutjar l’ús de les cookies, és a dir, fer la petició del consentiment.
  • Enllaç a la segona capa on s’aportarà més informació i on es podran configurar les preferències.

Es poden incloure tres botons (‘acceptar’, ‘no acceptar’ i ‘configuració’) o dos (‘acceptar’ i ‘configuració’ –on s’inclou el fet de rebutjar-les’). L’enllaç per administrar les preferències ha de portar directament a la configuració. Sobretot és important tenir present que no poden haver-hi caselles premarcades en l’acceptació de cookies.

En la segona capa, que ha de ser accessible de forma permanent, cal oferir la informació del tipus de cookies, qui les gestiona, com acceptar-les o denegar-les, període de conservació...

Consentiment

El consentiment s’ha de manifestar de forma expressa i evident, per exemple, a través d’un clic a un botó clarament identificat, o de qualsevol altra manera que suposi una acció inequívoca (i no complexa), sempre que s’hagi proporcionat la informació clara i accessible. En cas que es vulguin utilitzar altres mètodes, cal explicar-los. En cap cas continuar navegant pel web suposa una manera d’acceptació.

Cal especificar si el consentiment és únicament per a les cookies del web que s’està visitant o també per a altres webs gestionats pel mateix editor/a o, fins i tot, si és per a les cookies d’altres empreses. Per acceptar o no les cookies, aquestes s’han d’agrupar, com a mínim, per finalitat i també es pot fer segons el tercer, per tal que l’usuari/a pugui escollir unes o altres.

Mecanismes per demanar el consentiment:

  • Quan la persona usuària demana l’alta en un servei (s’haurà de separar d’altres condicions).
  • Quan es configura el funcionament del web o aplicació.
  • A través de plataformes de gestió del consentiment (CMP per les sigles en anglès), que apareixen, per exemple, com un pop-up.
  • Abans de descarregar un servei o aplicació, sempre que les cookies no siguin necessàries per al funcionament.
  • A través del format d’informació per capes.
  • A través de la configuració del navegador, sempre que es presenti el consentiment separat segons les finalitats i amb la identificació del/la responsable del tractament. No obstant això, des del web també s’ha de permetre revocar o denegar el consentiment, o donar la informació per fer-ho.

Fins i tot, és possible donar la informació i obtenir el consentiment de forma off-line.

En cas dels webs dirigits a menors de 14 anys, la informació per demanar el consentiment del/la titular de la pàtria potestat o tutela ha de tenir les mínimes dades possibles i ha de ser senzilla. Per exemple, pot aparèixer un missatge que recomani avisar el pare, mare o tutor/a per acceptar les condicions.

En cas que es puguin recordar certes dades al web, caldrà demanar més informació per verificar que el consentiment és donat per la persona adulta, per exemple, indicant l’edat o any de naixement. A mesura que es vagin recopilant més dades, caldrà dificultar el procés de verificació, per exemple, amb un correu electrònic. En tot cas, es recomana no utilitzar cookies de publicitat conductual en webs dirigits a menors.

Com gestionar el consentiment

En cas que un editor/a tingui diferents webs, el consentiment donat en un dels webs podrà servir per a la resta, sempre que s’informi dels webs que s’inclouen i que siguin de continguts similars.

Quan un consentiment és obtingut de forma vàlida, no és necessari obtenir-lo cada cop que l’usuari/a accedeixi al web. Això, excepte si varien les finalitats d’ús de les cookies. A més, aquesta selecció no hauria de durar més de 24 mesos.

L’usuari/a té dret a retirar el seu consentiment, tot i haver-lo atorgat anteriorment. Per això, cal que l’editor proporcioni la informació necessària per canviar aquesta preferència i ha de poder fer-ho de forma tan senzilla com es va fer l’acceptació.

La normativa també estableix que l’accés als serveis i funcionalitats no ha d’estar supeditat a l’acceptació de l’usuari/a. Per tant, tot i la no acceptació haurà de poder accedir al web. En casos determinats, davant la no acceptació es podrà impedir l’accés al web o a l’ús de certs serveis, però caldrà donar informació al respecte i oferir una alternativa –equivalent- que no impliqui obligatòriament l’acceptació de les cookies.