(+34) 954 29 30 31

Ya se pueden usar cookies analíticas sin consentimiento del visitante, ¿o no?

Venía siendo exigible a los titulares de sitios web (editores) que para utilizar cookies analíticas (o tecnologías similares) era necesario consentimiento de los visitantes. Cookies analíticas son aquellas que controlan y miden lo que hacen los visitantes de esos sitios web. Esto, trasladado al mundo ‘analógico’, es como si al dueño de un restaurante se le prohibiera, sin un consentimiento previo, contar los clientes que van a su restaurante y analizar los platos que solicitan para poder ofrecer en el futuro inmediato unos platos adaptados a las preferencias de sus clientes y, como no, tener una carta para poder conseguir más clientes para su restaurante. También es cierto que algunos titulares usan algunas cookies que no solo analizan lo que ‘se come en su restaurante’, sino que también espían lo que se come ese visitante en los restaurantes de los competidores o incluso lo que come ese visitante en su propia casa. No obstante, lo habitual es que los titulares de sitios web se limiten a analizar ‘lo que se come en su restaurante’.

Además, el consentimiento a prestar por el visitante del sitio web para que se pudieran utilizar estas cookies analíticas tenía que ser previo, específico, libre y mediante una acción afirmativa, por lo que en la práctica se exigían esos famosos botones para aceptar cookies que son tan molestos para los visitantes.

A falta de un esperado y prometido cambio legislativo europeo que habilitara el uso de estas cookies analíticas, parece que ha cambiado el criterio respecto de la necesidad de contar con el consentimiento del visitante para su uso. Así, la AEPD ha publicado la “Guía Uso de cookies para herramientas de medición de audiencia” en la que explica que, para determinadas cookies analíticas, no es necesario el consentimiento del visitante.

En esta guía se detallan las exigencias y prohibiciones para poder evitar el consentimiento de los interesados y así poder medir todas las visitas, sin que sea necesario que pulsen el botón de aceptación.

Las exigencias que deben cumplirse son las siguientes:

  • Este tratamiento ha de ser realizado en nombre exclusivo del editor y ser utilizadas para producir datos estadísticos anónimos únicamente.
  • No deben dar lugar a que los datos se cotejen con otras operaciones de tratamiento o a que los datos se transmitan a terceros.
  • Que las mediciones se limiten a lo siguiente:
    • Medición de audiencia, página por página.
    • La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual (a veces llamada `referente’), ya sea interna o externa al sitio, por página y agregada diariamente.
    • Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente.
    • Estadísticas de tiempo de carga de la página, por página y agregadas por hora.
    • Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente.
    • Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente.
    • Estadísticas sobre la zona geográfica de origen de las solicitudes, por página y agregadas diariamente.
  • Que se implementen las siguientes garantías mínimas:
    • Los usuarios sean informados de la utilización de estas cookies consideradas exentas con el propósito de medición de audiencias, por ejemplo, a través de la política de privacidad del sitio o la Aplicación móvil.
    • La vida útil de estas cookies o tecnologías similares se limiten a un período que permita una comparación significativa de audiencias a lo largo del tiempo, como es el caso de una duración de trece meses, y que no se extienda automáticamente en nuevas visitas.
    • La información recopilada a través de estas cookies o tecnologías similares se conserve durante un período máximo de veinticinco meses.
    • La vida útil y periodo de conservación mencionados anteriormente estén sujetas a revisión periódica para limitarse a lo estrictamente necesario.
  • Si se es un proveedor que proporciona un servicio de medición comparativa de audiencia a varios editores debe dar garantías objetivas al editor de que:
    • Los datos se recopilan, procesan y almacenan de forma independiente para cada editor.
    • Las cookies o tecnologías similares utilizadas son completamente independientes las unas de las otras y de cualquier otra cookie o tecnología similar.

Además, las prohibiciones que no han de cumplirse son las siguientes:

  • Cualquier solución que utilice el mismo identificador en varios sitios (por ejemplo, a través de cookies colocadas en un dominio de terceros cargado por varios sitios) para hacer referencias cruzadas, duplicar o medir una tasa de alcance unificada de un contenido.
  • Cuando se reutilicen los datos para otras finalidades, como es el caso de varias ofertas de medición de audiencia disponibles en el mercado.

Por último, explica la AEPD que si se es un editor que recurre a un proveedor de servicios de medición de audiencia tiene que cumplir con las siguientes garantías adicionales:

  • Tener con el proveedor un compromiso contractual que cumpla los requisitos del artículo 28 del RGPD en el que se explicite:
    • La obligación no reutilizar los datos recopilados en ningún caso, en el marco del contrato.
    • Restringir el tratamiento de los datos a los propósitos establecidas anteriormente como estrictamente necesarios.
    • Cumplir con las garantías establecidas para el caso de dar servicio a múltiples editores.
    • Que toda transferencia de datos fuera de la Unión Europea cumple con las condiciones de cumplimiento establecidas en el RGPD.
  • Realizar y documentar una evaluación, por sí mismo o por un tercero independiente, de si es posible configurar, y están configuradas, las herramientas proporcionadas por el proveedor para garantizar el cumplimiento de los requisitos enumerados en el punto anterior.

En definitiva, parece que se impone la lógica frente a un excesivo proteccionismo que permitirá que los proveedores de servicios de Internet puedan hacer algo tan lógico como analizar y medir sus visitas, eso sí, sin invadir la privacidad de los visitantes.

Pedro López de Lemus Rodríguez

Sin comentarios

Lo sentimos, no se permiten comentarios en este momento