Las cookies son pequeños archivos de datos que los sitios web colocan en los dispositivos de las personas cuando están navegando y luego almacenan en sus navegadores web.
Las cookies pueden permitir que los sitios web recuerden a los usuarios individuales y sus preferencias y configuraciones cuando regresan al sitio. Por ejemplo, un sitio web puede usar cookies para recordar cuál es su nombre de usuario y contraseña para que pueda iniciar sesión automáticamente la próxima vez. Las cookies también pueden permitir que los anunciantes rastreen la actividad en línea de las personas para que puedan dirigirse a ellas con anuncios personalizados.
Debido a que las cookies pueden almacenar suficiente información para identificar potencialmente a una persona, entran dentro de la definición de datos personales del GDPR y, por lo tanto, están sujetas a la regulación.
Consentimiento de Cookies GDPR
En el documento legal de 88 páginas de la regulación GDPR, las cookies solo se mencionan una vez.
Complementando el GDPR está la Directiva de Privacidad Electrónica (EPD, por sus siglas en inglés) — o la “ley de cookies”. Enmendada por última vez en 2009, eventualmente será reemplazada por el Reglamento de Privacidad y Comunicaciones Electrónicas, que contiene disposiciones específicas sobre cookies.
Cumplir con las regulaciones que rigen las cookies bajo tanto el GDPR como la EPD requiere que las organizaciones:
- Reciban el consentimiento de los usuarios antes de usar cualquier cookie, excepto las estrictamente necesarias
- Expliquen claramente los datos que rastrea cada cookie y por qué
- Documenten y almacenen el consentimiento de los usuarios
- Permitan a los usuarios acceder a su servicio incluso si no permiten el uso de ciertas cookies
- Faciliten a los usuarios retirar su consentimiento
Para cumplir con estos requisitos e informar a los clientes cómo su organización recopila y usa sus datos, las organizaciones pueden crear un aviso de consentimiento de cookies.
Ejemplo de Aviso de Consentimiento de Cookies GDPR
Un aviso típico de consentimiento de cookies incluye algunos elementos comunes. Generalmente cubre:
- Tipos de cookies que se están utilizando
- Cómo está utilizando cada tipo de cookie
- Si está compartiendo datos almacenados en cookies con anunciantes u otras terceras partes
- Cómo los usuarios pueden gestionar las cookies
- Un enlace a una página donde los usuarios pueden aprender más
Es una práctica común mostrar este aviso en un banner. Este banner incluirá botones que permitan a los usuarios aceptar o rechazar las cookies. Cada una de estas opciones debe presentarse claramente para que los usuarios puedan rechazar las cookies tan fácilmente como aceptarlas.
A continuación, se muestra un ejemplo del sitio web del ICO del Reino Unido:
Tenga en cuenta que los usuarios pueden hacer clic en el enlace a su página de cookies, que detalla aún más qué son las cookies, cómo se están utilizando en el sitio web y cómo los usuarios pueden gestionar su configuración de cookies. Así es como se ve esa página:
Aviso de Privacidad con Plantilla de Aviso de Consentimiento de Cookies GDPR
También es común incluir cláusulas de cookies en su aviso de privacidad. Puede utilizar esta plantilla como base para construir la suya propia.
Preguntas Frecuentes
¿Requiere el GDPR consentimiento para las cookies?
Sí, el GDPR requiere consentimiento para las cookies porque entran dentro de la definición de datos personales.
¿Cómo puedo cumplir con el GDPR con respecto a las cookies?
Para cumplir con el GDPR con respecto a las cookies, debe cumplir con los siguientes requisitos:
- Recibir el consentimiento de los usuarios antes de usar cualquier cookie, excepto las estrictamente necesarias
- Explicar claramente los datos que rastrea cada cookie y por qué
- Documentar y almacenar el consentimiento de los usuarios
- Permitir que los usuarios accedan a su servicio, incluso si no permiten el uso de ciertas cookies
- Facilitar que los usuarios retiren su consentimiento
¿Qué son las cookies según el GDPR?
Según el GDPR, las cookies son identificadores en línea proporcionados por dispositivos, aplicaciones, herramientas y protocolos que pueden estar asociados con personas físicas. Esto puede dejar rastros que pueden ser utilizados para crear perfiles de las personas físicas e identificarlas, especialmente si se combinan con identificadores únicos y otra información recibida por los servidores. Otros ejemplos de estos identificadores en línea según el GDPR son las direcciones IP y las etiquetas de identificación por radiofrecuencia.