El Consejo de Transparencia y Protección de Datos de Andalucía ha elaborado unas orientaciones sobre el uso de cookies en los portales web del sector público andaluz con el objetivo de garantizar el cumplimiento de la legislación de protección de datos, un documento que va dirigido a aquellos responsables de las páginas web que prestan servicios habituales de las Administraciones Públicas, como facilitar información de interés público, la gestión electrónica de trámites administrativos o la recaudación de tributos y el cobro de tasas.
Las orientaciones recogen las principales obligaciones para estos portales web que se dividen en realizar un inventario completo de las cookies empleadas e identificar aquellas que traten datos personales, determinar la finalidad y base que legitima que cada cookie trate datos personales, informar sobre el tratamiento de datos de cada una de ellas y gestionar el consentimiento de acuerdo al Reglamento General de Protección de Datos (RGPD) cuando ésta sea la base legitimadora del tratamiento.
En relación al inventario, es necesario precisar las cookies que se almacenan, identificar los datos personales tratados, la finalidad de su uso, el destino del tráfico generado, el tiempo de caducidad, la identificación del tercero que preste los servicios, todo ello con la finalidad de permitir a los interesados el ejercicio de sus derechos.
Con respecto a determinar la finalidad y la base que legitima cada cookie, tendrá que distinguirse, por un lado, entre las cookies técnicas (o que resultan estrictamente necesarias para la prestación del servicio), entre las que se encuentran las que sirven para identificar la sesión, controlar el tráfico, personalizar la interfaz de usuario o asegurar la seguridad del servicio, y sin las cuales el servicio no podría ofrecerse con una calidad aceptable. Y, por otro lado, se encuentran las cookies con cualquier otra finalidad (de personalización de contenidos, de publicidad, etc.) para las que se requerirá el consentimiento previo como base que legitima esa ‘huella’.
En cuanto a la información sobre el tratamiento de datos, es obligatorio proporcionarla al interesado antes de almacenar la cookie cumpliendo ciertos requisitos como la concisión, la transparencia y la inteligibilidad, el lenguaje claro y sencillo y la facilidad en su acceso.
De otro lado, para la gestión del consentimiento, el usuario deberá realizarlo de forma explícita y afirmativa y podrá rechazar las cookies con la misma facilidad que aceptarlas. Además, la información proporcionada al usuario para el consentimiento estará separada de otra diferente que se ofrezca. Las cookies se agruparán por finalidades con la posibilidad de aceptarlas o rechazarlas por separado y los diferentes grupos de cookies no estarán premarcados con la opción de aceptar, de forma que el responsable deberá poder demostrar que el usuario las aceptó. Igualmente, los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento y tan fácilmente como se prestó.
Errores habituales
Las orientaciones también detallan una serie de errores habituales que se deben evitar en el uso de las cookies y que están relacionados con el consentimiento y control del usuario, su clasificación y uso adecuado, la accesibilidad y claridad de la información y la integración con servicios y plataformas de terceros.
En concreto, se hace referencia a la falta de accesibilidad en la retirada del consentimiento, a las casillas premarcadas que aceptan las cookies, a la creación de ‘muros de cookies’ (si no se acepta no se permite la navegación), a la ausencia del botón de rechazo en la primera pantalla, a la calificación errónea de las cookies técnicas, a las introducción de forma inadvertida y sin control de nuevas cookies que tratan datos personales, a la falta de información sobre el tratamiento de datos, al empleo de usos inadecuados o textos difícilmente legibles.
Para más información consulta este enlace.