La Llei de Cookies (o Llei Cookie) obliga els titulars de pàgines web professionals a impedir que s’instal·lin Cookies en els ordinadors dels seus usuaris, llevat que aquests hagin donat abans el seu consentiment informat per a això.
Europa ens deixa sense Cookies (Imatge compartida per Gravity X9)
Les Cookies poden ser usades per gestionar el flux d’usuaris d’un lloc web i millorar la seva experiència de navegació. Però també són eines amb les que es poden dur a terme accions de spyware per aconseguir informació sobre els hàbits de navegació de l’usuari i utilitzar les dades personals obtingudes sense el seu consentiment amb fins comercials. Per aquest motiu, la Unió Europea, preocupada per la privacitat dels usuaris, va decidir aprovar el 2009 una norma que permetés l’ús de cookies només en certes circumstàncies. Aquesta norma va arribar a Espanya el 30 de març de 2012.
1 . – La Llei de Cookies ( o Llei Cookie o Llei Anticookies ) és realment una llei ?
Amb el nom de ” Llei de cookies ” és com es coneix al punt tercer de l’article 4 del Reial decret llei 13/2012 , de 30 de març que va ser publicat en el «Butlletí Oficial de l’Estat » el passat dissabte 31 de març de 2012 i va entrar en vigor al dia següent. La Llei de cookies , transposició de la Directiva 2009/136/CE , del Parlament Europeu i del Consell , de 25 de novembre de 2009, s’integra en la LSSI ( Llei 34/2002 , de 11 de juliol, de serveis de la societat de la informació i de comerç electrònic ) modificant el punt segon del seu article 22 , que queda redactat de la forma següent :
Article 22.2 de la Llei 34/2002. Els prestadors de serveis podran utilitzar dispositius d’emmagatzematge i recuperació de dades en equips terminals dels destinataris , a condició que aquests hagin donat el seu consentiment després que se’ls hagi facilitat informació clara i completa sobre la seva utilització , en particular , sobre els fins del tractament de les dades , d’acord amb el que disposa la Llei Orgànica 15/1999 , de 13 de desembre , de protecció de dades de caràcter personal .
Quan sigui tècnicament possible i eficaç, el consentiment del destinatari per acceptar el tractament de les dades es pot facilitar mitjançant l’ús dels paràmetres adequats del navegador o d’altres aplicacions , sempre que aquell hagi de procedir a la seva configuració durant la seva instal·lació o actualització mitjançant una acció expressa a aquest efecte.
Això no impedeix el possible emmagatzematge o accés d’índole tècnica al sol tal d’efectuar la transmissió d’una comunicació per una xarxa de comunicacions electròniques o , en la mesura que sigui estrictament necessari , per a la prestació d’un servei de la societat de la informació expressament sol·licitat pel destinatari.
2 . – A qui afecta la Llei de Cookies ?
La llei de Cookies afecta totes les empreses i professionals amb pàgina web i altres prestadors de serveis de la societat de la informació, sempre que compleixin almenys un dels requisits següents:
• Estiguin establerts a Espanya ( residència o domicili social a Espanya, inscripció en Registre Mercantil …).
• Estiguin establerts fora d’Espanya però dirigeixin els seus serveis específicament al territori espanyol.
• Altres casos : Article 2 de la Llei 34/2002
3 . – A què obliga la Llei de cookies exactament ?
La Llei de cookies permet l’ús i instal·lació de cookies únicament en els casos següents :
A ) Cookies que no requereixen autorització prèvia per part de l’usuari , però sobre les quals ha de figurar informació completa en l’avís legal ( Nota de premsa de l’AEPD sobre el Dictamen del Grup de Treball de l’article 29 que analitza la norma revisada sobre cookies) :
- Cookie de caràcter tècnic: Cookie estrictament necessària destinada únicament a permetre a l’usuari navegar per la pàgina web.
- Cookie estrictament necessària per a la prestació d’un servei expressament sol·licitat per l’usuari. Per exemple , aquella que és necessària instal·lar per efectuar un pagament o accedir a una zona privada del web.
B ) Cookies que sí requereixen autorització prèvia per part de l’usuari i sobre les quals , a més , cal informar de manera completa en l’avís legal:
- Cookie sense capacitat d’identificar l’usuari: Abans d’instal·lar la cookie a l’ordinador de l’usuari , aquest ha d’haver estat informat de forma clara i completa sobre la seva utilitat.
- Cookie amb capacitat d’identificar l’usuari: Abans d’instal·lar la cookie a l’ordinador de l’usuari , aquest ha d’haver estat informat de forma clara i completa sobre la seva utilitat i la finalitat del tractament que s’hagi de dur a terme amb les seves dades de caràcter personal.
- Cookies acceptades d’acord amb la configuració del navegador: En cas que l’usuari ha realitzat una acció expressa per a configurar el seu navegador de manera que accepti la instal·lació de determinades cookies, les pàgines web podran instal·lar aquelles de forma automàtica. Això obliga a la pàgina web a reconèixer el navegador i comprovar que la versió utilitzada per l’usuari sigui una que o bé no accepti cookies per defecte o bé hagi obligat l’usuari a decidir sobre la seva acceptació durant la instal·lació o actualització del mateix.
En la resta de casos, queda prohibida la instal·lació de cookies en terminals d’usuaris.
En el moment de la captura, el navegador emmagatzema 1.361 Cookies de les quals 6 han estat generades, després de la corresponent acceptació de l’usuari, en accedir al lloc “www.abanlex.com”, 4 d’elles són d’analítica web (__utmX), 1 és tècnica (PHP …) i l’última ha estat generada a petició de l’usuari (WSJ …)
4. – Com puc informar l’usuari de forma clara i completa abans d’instal·lar una cookie?
Hi ha diversos mètodes per informar a l’usuari:
• Pàgina de benvinguda amb informació sobre Cookies i botó d’acceptar (Com les que pregunten si l’usuari és major d’edat).
• Pop-up previ que suspengui la càrrega completa de la pàgina fins a l’acceptació.
• Capçalera o peu de pàgina amb informació i una caixa d’acceptació. Exemple: Abanlex
• Pas previ d’acceptació dins el quadre de reproducció de vídeos, jocs i altres aplicacions web.
The Information Commissioner s Office ha optat per un avís sobre Cookies a la capçalera de la seva web.
5 . – Quina informació he de donar a l’usuari abans que pugui consentir l’ús de Cookies?
Abans que s’instal·lin cookies a l’ordinador de l’usuari és imprescindible que l’usuari les hagi acceptat. Però abans que pugui donar aquesta acceptació cal informar sobre els aspectes següents:
- Què és una galeta
- Per a què utilitza Cookies al lloc web ( és recomanable utilitzar exemples )
- Què Cookies en concret se li van a instal·lar
- On aconseguir més informació sobre les cookies
- Altres rellevants, segons el cas
6 . – Hi ha alguna eina ja desenvolupada que permeti complir la Llei de Cookies
Sí Són poques i, almenys per ara , cap està en espanyol . A continuació comparteixo alguns exemples :
Connectors per a tots els sistemes:
- Cookie Collective: No ho he provat.
- Portent: No ho he provat però he llegit en diversos fòrums que la seva versió actual no sembla que permeti complir correctament la Llei de Cookies.
- Wolf Programari: Permet un compliment complet de la Llei de Cookies . La seva instal· lació és relativament senzilla ( encara que em va portar més temps de l’esperat).
- CookieQ: Després d’haver provat , em sembla excessivament complex per a l’usuari mitjà.
- Cookie Control: És senzill per a l’usuari , complet , gens intrusiu i fàcil d’instal·lar ( o això em va semblar ) .
- ICO – Cookie – Warning: Vaig aconseguir instal·lar la barra de consentiment però no vaig aconseguir fer funcionar l’script , per la qual cosa desconec si funciona realment . Mòdul per a usuaris de Drupal:
- • Cookie Control Drupal module: No ho he provat . Desconec si permet complir la Llei de Cookies
Plugins per WordPress :
- • EU Cookie Law / EU Cookie Directive Compliance Plugin: Després activar seguint les seves instruccions he comprovat que no aconsegueix bloquejar les cookies pel que considero que no és un sistema adequat per complir la Llei de cookies .
- • EU Cookie Directive: Tampoc sembla capaç de bloquejar adequadament les Cookies pel que considero que no és un mètode correcte per complir la Llei de cookies .
- • Cookie Control: No ho he provat.
L’eina Cookie Control permet complir la llei d’una manera elegant i poc intrusiva per mitjà d’una icona desplegable ubicat en una cantonada de la web
7 . – Afecta la Llei de Cookies a la navegació mòbil , inclosos els eReaders i les tauletes ( iPad, etc ) ?
Sí
8 . – Hi ha alguna pàgina web que ja estigui adequada a Llei de Cookies ?
Sí
Exemples espanyols :
• L’Agència Espanyola de Protecció de Dades ( www.agpd.es) : està adequada a la Llei de Cookies perquè no té cookies ( a excepció d’una galeta que s’instal · la al accedir al seu servei E – Nquest i sobre la qual podria informar – però no ho fa -en la seva avís legal ) .
• El despatx d’advocats Abanlex (www.abanlex.com) : He tractat de predicar amb l’exemple així que , abans d’escriure aquest post , he adequat la pàgina web del nostre despatx : Abanlex . [ Actualització : Hem canviat la gestió de cookies que fem a la pàgina de Abanlex , de manera que ara fem una gestió de cookies diferent a la indicada en aquest article ] .
Exemples no espanyols :
A la pàgina web de Abanlex hem optat per un avís desplegable i no intrusiu que mostra informació i demana consentiment abans de la instal·lació de cookies d’analítica web
9 . – N’hi hauria prou amb incloure la informació en l’avís legal per complir la Llei de Cookies?
No
Per regla general , l’avís legal no serà suficient per complir la Llei de Cookies . No obstant això, hi ha excepcions :
• Pàgines de registre : L’avís legal si servirà per informar sobre aquelles Cookies que s’instal·len en un moment posterior . Per exemple , aquelles pàgines que ofereixin als seus usuaris procediments de registre podran incloure en l’avís legal o a les condicions de registre la informació relativa a les cookies que els vagin a instal·lar .
• Serveis sol·licitats per l’usuari : Al avís legal s’haurà d’incloure informació sobre les cookies necessàries per a la prestació de serveis que l’usuari pugui sol · licitar a través del lloc web . Exemple : Avís legal Abanlex.
No cal informar sobre les Cookies que s’instal·lin al navegador de l’ usuari com a conseqüència de procediments d’autenticació OpenID i OAuth , ja que aquesta es realitza fora del lloc principal .
10 . – La pàgina web de la meva empresa està allotjada a Facebook. Estic cobert ?
No Estàs incomplint la Llei de cookies .
Pots decidir allotjar la teva pàgina web en un servidor propi , en un servidor d’un prestador europeu de serveis d’allotjament (RedCoruna m’està donant molt bon resultat) o optar per crear la pàgina de la teva empresa en serveis de creació ràpida de pàgines web com 1&1, Wix, Webnode o Facebook, però, en tot cas, estàs obligat a complir la llei.
Avui , totes les pàgines d’empresa a Facebook estan incomplint la Llei de Cookies, inclosa la pàgina de la mateixa Agència Espanyola de Protecció de Dades. Quan els visitants ( no usuaris de Facebook ) accedeixen a la seva pàgina web allotjada a Facebook automàticament són bombardejats amb Cookies sobre les quals la Llei de Cookies fa plenament responsable al titular del web .
(Al marge de tot això , tinc curiositat per veure el contracte d’encarregat del tractament que haurà signat l’AEPD amb Facebook per al tractament de les dades dels seus usuaris i fans en aquesta xarxa social).
Una de les pàgines de l’Agència Espanyola de Protecció de Dades (en concret, la que ha creat i allotja a Facebook) instal almenys 4 Cookies de l’empresa nord-americana Facebook , Inc a tots els usuaris que la visiten. A la pestanya d’informació de la fan page, l’AEPD es reconeix naturalment responsable del fitxer de fans i permet dirigir-se a ella per exercir els drets d’accés, rectificació, cancel·lació i oposició.
11 . – Què passa amb els prestadors de publicitat comportamental ?
Les empreses que presten serveis de publicitat o recomanacions basades en el comportament dels usuaris ho tenen molt difícil. La instal·lació de les cookies requereix sempre l’acceptació prèvia de l’usuari després que hagi tingut accés a informació clara i completa sobre l’ús de la galeta que correspongui . L’usuari pot atorgar aquest consentiment en la pàgina del prestador , a la pàgina d’un client del prestador en què l’eina estigui instal·lada, en pàgines especialitzades com Your Online Choices oa través de l’activació voluntària de la corresponent opció del navegador (quan hi hagi aquesta opció) .
Més informació sobre publicitat comportamental: Guia sobre publicitat basada en el comportament.
12 . – Com és el procés d’adequació a la Llei de Cookies ?
Cada cas és diferent .
Per regla general, els passos a seguir per adequar una pàgina web ja existent a la Llei de Cookies seran els següents :
• Auditoria de cookies .
• Inclusió d’informació sobre Cookies al avís legal de la web. Exemple: Avís legal Abanlex.
• Desenvolupament informàtic d’una aplicació que bloquegi la instal·lació de cookies i mostri un avís legal informatiu adequat a la norma .
13 . – Des de quan és obligatori complir la Llei de Cookies?
A Espanya , des l’1 d’abril de 2012.
14 . – Què em pot passar si no compleixo la Llei de Cookies ?
Multa de fins a 30.000 euros (o fins a 150.000 euros, en el cas que l’incompliment sigui significatiu), conformi estableixen els articles 38 i 39 de la Llei 34/2002 .
[ Actualització : 2013.09.10 ] Es multa per no informar de forma vàlida . Recorda que la Llei de Cookies inclou una novetat : abans la informació havia de ser clara i completa , ara ha de ser , a més , prèvia a l’obtenció del consentiment . Per tant , la informació vàlida ha de ser clara , completa i prèvia.
Art 38.3 LSSI “Són infraccions greus:
i) L’incompliment significatiu de les obligacions d’informació o d’establiment d’un procediment de rebuig del tractament de dades, establertes en l’apartat 2 de l’article 22.”
Art 38.4 LSSI “Són infraccions lleus:
g ) L’incompliment de les obligacions d’informació o d’establiment d’un procediment de rebuig del tractament de dades, establertes en l’apartat 2 de l’article 22, quan no constitueixi una infracció greu .”
Art 39.1 “Per la comissió de les infraccions recollides en l’article anterior, s’imposaran les següents sancions:
b ) Per la comissió d’infraccions greus, multa de 30.001 fins a 150.000 euros.
c ) Per la comissió d’infraccions lleus , multa de fins a 30.000 euros.”
El fet que la informació hagi de ser prèvia, exigeix que hi hagi algun tipus de consentiment, exprés o tàcit, atorgat per l’usuari després d’haver estat informat. Per tant, no se sanciona la falta de consentiment, sinó que sanciona que la informació no sigui a la vàlida (clara, completa i prèvia) .
Tanmateix, com per a la imposició de la sanció es té en compte la repercussió social de la infracció comesa, pel nombre d’usuaris afectats, i la gravetat de l’ il·lícit, estimo que les quantitats de les multes seran força baixes … quan comencin a imposar- .
15 . – Creus que es perseguirà als infractors ?
Si no es persegueix als infractors, per a què serveix la llei?
Sent realista, no crec que es persegueixi als infractors sempre que siguin petites empreses, que les úniques cookies que tinguin siguin les que permetin fer estadístiques anònimes de l’ús del lloc web i que es noti que estiguin fent esforços per complir la llei com, per exemple, tenir un avís legal adequat a la normativa. Tot i això, una llei és una llei i cal complir-la.
16 . – Què opines de la Llei de Cookies ?
Considero que les Cookies poden suposar un risc cert a la protecció de dades i de regular el seu ús és necessari. Però no així. Aquesta norma és un absolut despropòsit pels motius següents:
• La llei està abocada al fracàs de facto pel seu incompliment generalitzat.
• El compliment de la mesura suposa un desemborsament econòmic totalment desproporcionat en relació amb el bé que se suposa que es vol protegir.
• La norma relega les empreses europees a un segon lloc pel que fa a tots els competidors extracomunitaris els usuaris no seran absurdament bombardejats amb banners demanant consentiment per insta·lar cookies. És una mesura anticompetitiva i que va en contra dels interessos econòmics d’Europa .
• La pèrdua de capacitat de monitorització d’activitat en pàgines web i la dificultat extrema de crear negocis eficients basats en el comportaments dels usuaris provocarà que les empreses espanyoles no siguin competitives. Europa ofega el seu propi potencial d’economia digital.
• A la majoria dels mortals li doni exactament igual el fet que s’instal·li o es deixi d’instal·lar una galeta.
• El adequat hauria estat deixar les coses com estaven per ara . O , com a molt , dictar una “recomanació”, que per això existeix la figura en l’elenc de tipus d’actes unilaterals de la UE.
Actualització (29 d’abril de 2012):
17 . – Quants usuaris accepten la instal·lació de cookies ?
El nombre d’usuaris que accepta la instal·lació de cookies depèn de diversos factors entre els quals es troben els següents:
• Solució tecnològica escollida per al bloqueig de Cookies: visibilitat de l’avís (pop – up , faldó, icona al peu de la web …) , sistema d’acceptació (s’expressa mitjançant clic a ” Accepto” o tàcita per mitjà clic a qualsevol part de la web) .
• Missatge d’avís que es mostri: Claredat, concisió, proximitat, agressivitat …
• Tipus d’usuari .
Després de monitoritzar durant una setmana l’accés de visitants al lloc web del nostre despatx, la dada que obtinc és que menys d’un 15% accepta la instal·lació de cookies. A continuació comparteixo alguns gràfics estadístics.
Progressió de visites en els darrers 2 anys. En la gràfica s’aprecia l’ascens continuat de la monitorització de visites i el dràstic descens provocat pel compliment de la Llei de Cookies.
El mateix dia en què vam començar a complir la Llei de cookies, el nombre d’usuaris monitoritzats va fregar el 0. Va augmentar entre els dies 9 i 13 d’abril per les visites rebudes des d’aquest post.
Complint la Llei de Cookies monitoritzem només al segment d’usuaris que accepten la instal·lació de cookies (poc més del 13% del total).
Bloc de Dret – Pablo Fernández Burgueño
Aquest article sobre ‘Com complir la Llei de cookies resultar guanyador del premi al millor post jurídic 2012, atorgat per Dret en Xarxa
PEDROSA BUSQUETS & ASSOCIATS, assessors TIC
Copyright © 2016 Pedrosa Busquets & Associats, S.L. – Tots els drets reservats