A los efectos de la presente guía resulta útil definir previamente una serie de conceptos.
Cookies y tecnologías similares La LSSI resulta aplicable a las cookies entendidas en el sentido señalado al comienzo de esta guía, esto es, como cualquier tipo de dispositivo de almacenamiento y recuperación de datos que se utilice en el equipo terminal de un usuario con la finalidad de almacenar información y recuperar la información ya almacenada, según establece el artículo 22.2 de la LSSI. Las cookies permiten el almacenamiento en el terminal del usuario de cantidades de datos que van de unos pocos kilobytes a varios megabytes. A continuación, se realiza una clasificación de las cookies en función de una serie de categorías. No obstante es necesario tener en cuenta que una misma cookie puede estar incluida en más de una categoría.
- Tipos de cookies según la entidad que las gestione Según quién sea la entidad que gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos distinguir:
- a) Cookies propias: son aquellas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.
- b) Cookies de tercero: son aquellas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies. En el caso de que las cookies sean servidas desde un equipo o dominio gestionado por el propio editor, pero la información que se recoja mediante estas sea gestionada por un tercero, no pueden ser consideradas como cookies propias si el tercero las utiliza para sus propias finalidades (por ejemplo, la mejora de los servicios que presta o la prestación de servicios de carácter publicitario a favor de otras entidades).
- Tipos de cookies según su finalidad Existen muchas finalidades para el uso de las cookies. Según la finalidad para la que se traten los datos obtenidos a través de las cookies, algunas de las finalidades pueden ser:
- a)Cookies técnicas: son aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, gestionar el pago, controlar el fraude vinculado a la seguridad del servicio, realizar la solicitud de inscripción o participación en un evento, contar visitas a efectos de la facturación de licencias del software con el que funciona el servicio (sitio web, plataforma o aplicación), utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de vídeos o sonido, habilitar contenidos dinámicos (por ejemplo, animación de carga de un texto o imagen) o compartir contenidos a través de redes sociales. También pertenecen a esta categoría, por su naturaleza técnica, aquellas cookies que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, como un elemento más de diseño o “maquetación” del servicio ofrecido al usuario, el editor haya incluido en una página web, aplicación o plataforma en base a criterios como el contenido editado, sin que se recopile información de los usuarios con fines distintos, como puede ser personalizar ese contenido publicitario u otros contenidos. Las cookies técnicas estarán exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI cuando permitan prestar el servicio solicitado por el usuario, como ocurre en el caso de las cookies enumeradas en los párrafos anteriores. Sin embargo, si estas cookies se utilizan también para finalidades no exentas (por ejemplo, para fines publicitarios comportamentales), quedarán sujetas a dichas obligaciones.
- b) Cookies de preferencias o personalización: son aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio, etc. Si es el propio usuario quien elige esas características (por ejemplo, si selecciona el idioma de un sitio web clicando en el icono de la bandera del país correspondiente), las cookies estarán exceptuadas de las obligaciones del artículo 22.2 de la LSSI por considerarse un servicio expresamente solicitado por el usuario, y ello siempre y cuando las cookies obedezcan exclusivamente a la finalidad seleccionada.
- c) Cookies de análisis o medición: son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio. Respecto al tratamiento de datos recabados a través de las cookies de análisis, el GT29 manifestó que, a pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.
- d) Cookies de publicidad comportamental: son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo. En todo caso, debe tenerse en cuenta que estas tipologías se ofrecen a título orientativo por ser las más habituales. Los editores y los terceros podrán realizar las categorizaciones que consideren que mejor se ajustan a las finalidades de las cookies que utilizan, de forma que se respete el principio de transparencia frente a los usuarios.
- Tipos de cookies según el plazo de tiempo que permanecen activadas Según el plazo de tiempo que permanecen activadas en el equipo terminal podemos distinguir:
- a) Cookies de sesión: son aquellas diseñadas para recabar y almacenar datos mientras el usuario accede a una página web. Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (por ejemplo, una lista de productos adquiridos) y desaparecen al terminar la sesión.
- b) Cookies persistentes: son aquellas en las que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años. A este respecto debe valorarse específicamente si es necesaria la utilización de cookies persistentes, puesto que los riesgos para la privacidad podrían reducirse mediante la utilización de cookies de sesión. En todo caso, cuando se instalen cookies persistentes, se recomienda reducir al mínimo necesario su duración temporal atendiendo a la finalidad de su uso. A estos efectos, el Dictamen 4/2012 del GT29 indicó que para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello, es mucho más probable que se consideren como exceptuadas las cookies de sesión que las persistentes.
Dato: Es la información que se obtiene por medio del equipo terminal del usuario a través del dispositivo de almacenamiento y recuperación de datos (cookies u otros). El dato será personal cuando se trata de información sobre personas físicas identificadas o identificables, en los términos que establece el artículo 4 del RGPD.
Equipo terminal: Es el dispositivo desde el cual el usuario accede al servicio, como un ordenador personal, un teléfono móvil, una tablet, etc., y a partir del cual se obtiene la información.
Servicio de la sociedad de la información: Es todo servicio prestado a petición individual de un usuario, a título oneroso o no, a distancia y por vía electrónica, siempre que, a efectos de esta guía, constituya una actividad económica para el editor cuya prestación origina la utilización de las cookies. Por ejemplo: la prestación de un servicio de acceso a la información a través de una página web o de una aplicación móvil creada por una revista o periódico, de un servicio financiero, de un servicio de entretenimiento, de un servicio de comercio electrónico de una tienda on-line, etc.
Página web: Los servicios de la sociedad de la información pueden ser prestados por el editor a través una plataforma, aplicación informática o un sitio web al cual accede el usuario desde su equipo terminal. Las cookies o dispositivos de almacenamiento han estado tradicionalmente asociados a las páginas web. Sin embargo, estos son actualmente utilizados tanto en páginas web como en otro tipo de plataformas y aplicaciones (por ejemplo, las apps para teléfonos inteligentes y tablets). A lo largo de este texto se utilizará el término página web para englobar todos estos posibles medios.Espacio publicitario: Es un lugar en el que el editor prevé, cuando programa la página web, que aparezca la publicidad de los productos, imagen o servicios de los anunciantes. Existe una gran variedad de espacios o formatos publicitarios; desde los que se integran en la propia aplicación, como los banners15 , rascacielos16 , roba páginas17 , botones y los enlaces de texto, hasta los denominados flotantes, como los pop-ups18 , layers19 , cortinillas o interstitials de tránsito20 .
