Política de cookies

Las cookies son archivos que se instalan en el navegador del usuario para conocer su historial de navegación. Se suele utilizar en marketing para ofrecer contenidos, productos o servicios relacionados con los intereses del usuario.

Para poder colocar una cookie en el navegador del usuario es necesario haber obtenido consentimiento expreso. Es decir, ya no sirve con el consentimiento tácito o por omisión, sino que éste debe ser efectivo, voluntario e inequívoco. Por ejemplo, marcando una casilla de aceptación.

 Por otro lado, la intención de usar las cookies del usuario se debe presentar mediante una doble capa informativa. En la primera capa simplemente se indica que la web utiliza cookies de terceros, con un link a la segunda capa, en la que se informa más detalladamente sobre la finalidad, si se van a ceder a terceros o el tiempo de permanencia en la base de datos.

Como norma general, para colocar cualquier cookie es necesario el consentimiento expreso del usuario, pero esto no siempre es así. No será necesario, por ejemplo, en el caso de cookies de entrada de usuario, de seguridad, de reproducción multimedia o de autentificación. 

MÁS INFORMACIÓN SOBRE COOKIES

El apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico establece:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”.

En particular, conviene precisar que, de conformidad con el precepto transcrito, el mismo aplica a cualesquiera “dispositivos de almacenamiento y recuperación de datos” en cualesquiera “equipos terminales de los destinatarios” y que el anexo de la citada LSSI define como “Destinatario del servicio o destinatario” a la “persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información”.

Así pues, el artículo 22 de la LSSI y la presente guía se refieren a la utilización de cookies y tecnologías similares utilizadas (tales como local shared objects o flash cookies, web beacons o bugs, etc.) para almacenar y recuperar datos de un equipo terminal (por ejemplo, un ordenador,un teléfono móvil o una tablet) de una personafísica o jurídica que utiliza, sea o no por motivosprofesionales, un servicio de la sociedad dela información.

Las obligaciones legales impuestas por la normativa son dos, a saber: la obligación de transparencia y la obligación de obtención del consentimiento.

El apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos. Esta información debe facilitarse, como se ha indicado, con arreglo a lo dispuesto el RGPD, que requiere que el tratamiento de los datos de los usuarios se realice de forma transparente para ellos.

Por consiguiente, la información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.

En la política de cookies deberá incluirse la siguiente información:

• Definición y función genérica de las cookies.
• Información sobre el tipo de cookies que se utilizan y su finalidad. 

• Identificación de quién utiliza las cookies, esto es, si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros con los que editor haya contratado la prestación de un servicio para el cual se requiera el uso de cookies, con identificación de estos últimos.
• Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies enunciadas a través de las funcionalidades facilitadas por el editor (el sistema de gestión o configuración de cookies que se haya habilitado) o a través de las plataformas comunes que pudieran existir para esta finalidad.
• En su caso, información sobre las transferencias de datos a terceros países realizadas por el editor.
• Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar, será necesario que se informe sobre la lógica utilizada, así como la importancia y las consecuencias previstas de dicho tratamiento para el usuario en los términos establecidos en el artículo 13.2 f) del RGPD.
• Periodo de conservación de los datos para los diferentes fines en los términos establecidos en el artículo 13.2 a) del RGPD.
• En relación con el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad.

Para la utilización de las cookies no exceptuadas será necesario en todo caso obtener el consentimiento del usuario. Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares. También podrá obtenerse infiriéndolo de una inequívoca acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies. En ningún caso la mera inactividad del usuario implica la prestación del consentimiento por sí misma.

De conformidad con el apartado 2 del artículo 22 de la LSSI el consentimiento debe ser prestado por los “destinatarios” de los servicios de la sociedad de la información.

De acuerdo con el apartado d) del Anexo de la LSSI por “Destinatario del servicio o destinatario” debe entenderse “la persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información”. Y conforme a las definiciones realizadas en el apartado correspondiente, el término destinatario coincide con el de usuario, que es el utilizado en la presente guía.

Por ello, la información debe dirigirse directamente al usuario para que pueda expresar su consentimiento o su rechazo.

APLICACIONES MÓVILES (APPS)

Aquellas entidades involucradas en el desarrollo, distribución y explotación de apps para dispositivos móviles, en particular a aquellas que desempeñen el rol de responsables de tratamiento o corresponsable en cada una de sus áreas de competencia, así como otros agentes que intervienen en el ecosistema de apps para dispositivos móviles, como pueden ser, entre otros, desarrolladores de aplicaciones y desarrolladores de librerías, tienen las siguientes obligaciones:

Deber de información:

• La información proporcionada a los usuarios sobre el tratamiento de sus datos personales debe cumplir los requisitos establecidos en los artículos 13 y 14 del RGPD y el artículo 11 de la LOPDGDD, en particular con respecto a la información por capas, en los términos señalados en la “Guía para el cumplimiento del deber de informar” y el “Decálogo para la adaptación alRGPD de las políticas de privacidad en internet”.
• Dicha información, en forma de política de privacidad, debe estar disponible tanto en la propia aplicación como en la tienda de aplicaciones. De esta forma, el usuario podrá consultarla antes de instalar la aplicación o en cualquier momento durante su uso.
• El acceso a la política de privacidad debe poder hacerse de forma sencilladesde la aplicación, y requerir del usuario un número de interacciones reducido, a ser posible a un máximo de dos clics como recomienda GT29 en sus directrices.
• El responsable del tratamiento tiene que identificarse claramente en la política de privacidad.
• La información sobre el tratamiento debe ser completa y consistente tanto en la tienda de aplicaciones, en su caso, como en la propia aplicación. No puede hacer discrepancias entre ambas.
• El lenguaje en el que se describen las políticas de privacidad debe ser adecuado para el usuario objetivo de la aplicación teniendo en cuenta su edad y su nivel de conocimiento.
• Las políticas de privacidad deben ser concretas y específicas sobre el tratamiento de datos personales que se leva a cabo.

Los responsables de tratamiento que encarguen el desarrollo, puesta en producción y/o explotación de aplicaciones a terceras partes con acceso a datos personales, deben asegurarse de cumplir los requisitos establecidos en el RGPD para cada una de las partes.

Si bien el dispositivo muestra al usuario una notificación solicitando su autorización para acceder a dichos recursos, en muchos casos, la información mostrada no es suficiente en el contexto del RGPD, ni la granularidad del permiso se precisa de forma correcta, ya que, entre otra información, debe incluir la finalidad del tratamiento de esos datos. La necesidad de acceder a dichos recursos debe informarse apropiadamente en la política de privacidad de la aplicación, para que el usuario pueda decidir la conveniencia o no de otorgar autorización a la aplicación para acceder a dichos recursos.

CIBERACOSO – ACOSO DIGITAL

El desarrollo de Internet y las Tecnologías de la Información y Comunicación (TIC) ha conllevado la aparición de diversas formas de violencia, propiciadas por la extensión y el uso intensivo de dispositivos móviles e Internet, redes sociales y servicios como los de mensajería instantánea o de geolocalización, que han servido de cauce para su proliferación.

Las características de las TIC han dado lugar a nuevas amenazas, derivadas, entre otras, de la velocidad con la que la información se difunde en este entorno, la posibilidad de acceder a la información gracias a los motores de búsqueda y las dificultades para su eliminación. La facilidad para viralizar y la perdurabilidad en el entorno en línea entrañan nuevas situaciones de riesgo, como pueden ser el acceso y la divulgación sin consentimiento de información sensible, de fotografías o videos de carácter íntimo; la vigilancia y monitoreo de actividades en línea; daños a la reputación, etc., resultando especialmente dañinas las conductas conocidas como «sextorsión» o el acoso sexual en línea.

En el ámbito laboral se producen y reproducen estas formas de violencia digital, en numerosas ocasiones acompañando -y otras ocasionando- conductas constitutivas de acoso laboral y de acoso sexual o por razón de sexo. Estas conductas afectan a la salud física, psíquica y emocional de los trabajadores y trabajadoras, por lo que combatirlas es una obligación del empleador, garante de la salud y seguridad de sus trabajadores.

Las entidades podrían adoptar medidas para evitar comportamientos dentro del ámbito laboral que sean constitutivos de acoso sexual o laboral mediante tratamientos ilícitos de los datos de sus empleados por otros empleados. En concreto, dentro del deber de garantizar la seguridad y salud laboral, se entiende la obligación de formar al personal en lo relativo a las conductas constitutivas de acoso laboral y de acoso sexual o por razón de sexo, así como en un uso de las redes sociales y las TIC adecuado y respetuoso con el derecho fundamental a la protección de la intimidad.

En este sentido, la información se presenta como una herramienta fundamental. Las entidades podrían:

• Incluir en sus políticas de prevención del acoso una descripción de conductas inadecuadas en el empleo de las nuevas tecnologías, de forma que los empleados tomen conciencia de los riesgos que aquellas pueden entrañar para la intimidad, y de las conductas que pueden dar lugar a una situación de acoso laboral o de acoso sexual o por razón de sexo. De esta forma, las empresas pueden informar sobre el carácter de falta o delito de determinadas conductas, así como publicar ejemplos de conductas realizadas por medio de Internet y redes sociales que supongan casos de acoso. Se trata de que los empleados tengan claras las consecuencias penales, y administrativas, en su caso, de las citadas conductas.
• Aportar información relativa a los posibles mecanismos de reacción ante un tratamiento de datos personales que pueda suponer una situación de acoso: información sobre los mecanismos de retirada de contenido de las principales plataformas en internet, políticas de privacidad de los principales operadores o el canal prioritario puesto a disposición del público por parte de la Agencia Española de Protección de Datos, entre otros.

Las organizaciones tienen el deber de colaborar con las autoridades competentes para la erradicación de estas situaciones: la AEPD, las FCSE, las autoridades judiciales. Asimismo, tienen el deber de denunciar cuando sean conocedores de situaciones de ciberacoso en casos de violencia de género.

Además, las entidades tienen el deber de poner en marcha los mecanismos de actuación previstos en sus políticas de prevención del acoso, iniciando las actuaciones disciplinarias pertinentes contra los trabajadores que llevaren a cabo estas conductas y comunicándoles las posibles consecuencias jurídicas y responsabilidades en que pudieran incurrir.

Por último, sería conveniente prever en estos mecanismos de actuación cauces especiales para los supuestos en que la realización del acoso se lleva a cabo a través de tratamientos ilícitos de datos personales.

En este sentido, las entidades pueden dar publicidad y difusión al canal establecido por la Agencia Española de Protección de Datos para hacer efectivo el derecho a la supresión de datos personales especialmente sensibles.