Aviso de cookies (fijado en la cabecera debido a que algunos navegadores y extensiones ahora ocultan los banners): Al navegar por este sitio web, tus datos de conexión (IP) y navegación (URL) son obtenidos y mantenidos durante un máximo de 90 días exclusivamente para mantener la seguridad del sitio web a través de los servicios de cortafuegos y antivirus de Defiant Inc, prestador de servicios ubicado en EE.UU. con el que Pablo (responsable) mantiene un contrato de encargado del tratamiento. Puedes oponerte o ejercitar otros derechos, así como obtener más información consultando el aviso de cookies.
El contenido de este sitio web está basado en normas de España, salvo indicación expresa en contrario.

Cómo cumplir la Ley de Cookies

No basta con informar. Los avisos no son suficientes. Hay que bloquear las cookies hasta después de que el usuario las haya aceptado, en la mayoría de los casos. [Nota añadida el 2/8/2015]

Europa nos deja sin cookies (Imagen compartida por Gravity X9)

La Ley de Cookies (o Ley Cookie) obliga a los titulares de páginas web profesionales a impedir que se instalen cookies en los ordenadores de sus usuarios, a menos que estos hayan dado antes su consentimiento informado para ello.

Las cookies pueden ser usadas para gestionar el flujo de usuarios de un sitio web y mejorar su experiencia de navegación. Pero también son herramientas con las que se pueden llevar a cabo acciones de spyware para conseguir información sobre los hábitos de navegación del usuario y utilizar los datos personales obtenidos sin su consentimiento con fines comerciales. Por este motivo, la Unión Europea, preocupada por la privacidad de los usuarios, decidió aprobar en 2009 una norma que permitiese el uso de cookies solo en ciertas circunstancias. Esa norma llegó a España el 30 de marzo de 2012.

1.- ¿La Ley de Cookies (o Ley Cookie o Ley Anticookies) es realmente una ley?

Con el nombre de «Ley de cookies» es como se conoce al punto tercero del artículo 4 del Real Decreto-ley 13/2012, de 30 de marzo que fue publicado en el «Boletín Oficial del Estado» el pasado sábado 31 de marzo de 2012 y entró en vigor al día siguiente. La Ley de cookies, transposición de la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, se integra en la LSSI (Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico) modificando el punto segundo de su artículo 22, que queda redactado de la forma siguiente:

Artículo 22.2 de la Ley 34/2002. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

2.- ¿A quién afecta la Ley de Cookies?

La ley de Cookies afecta a todas las empresas y profesionales con página web y otros prestadores de servicios de la sociedad de la información, siempre que cumplan al menos uno de los requisitos siguientes:

  • Estén establecidos en España (residencia o domicilio social en España, inscripción en Registro Mercantil…).
  • Estén establecidos fuera de España pero dirijan sus servicios específicamente al territorio español.
  • Otros casos: Artículo 2 de la Ley 34/2002

3.- ¿A qué obliga la Ley de cookies exactamente?

La Ley de cookies permite el uso e instalación de cookies únicamente en los casos siguientes:

A) Cookies que no requieren autorización previa por parte del usuario, pero sobre las que debe figurar información completa en el aviso legal (Nota de prensa de la AEPD sobre el Dictamen del Grupo de Trabajo del artículo 29 que analiza la norma revisada sobre cookies):

  • Cookie de carácter técnico: Cookie estrictamente necesaria destinada únicamente a permitir al usuario navegar por la página web.
  • Cookie estrictamente necesaria para la prestación de un servicio expresamente solicitado por el usuario. Por ejemplo, aquella que es necesaria instalar para efectuar un pago o acceder a una zona privada de la web.

B) Cookies que sí requieren autorización previa por parte del usuario y sobre las que, además, hay que informar de forma completa en el aviso legal:

  • Cookie sin capacidad de identificar al usuario: Antes de instalar la cookie en el ordenador del usuario, éste debe haber sido informado de forma clara y completa sobre su utilidad.
  • Cookie con capacidad de identificar al usuario: Antes de instalar la cookie en el ordenador del usuario, éste debe haber sido informado de forma clara y completa sobre su utilidad y la finalidad del tratamiento que se vaya a llevar a cabo con sus datos de carácter personal.
  • Cookies aceptadas conforme a la configuración del navegador: En caso de que el usuario hubiera realizado una acción expresa para configurar su navegador de forma que acepte la instalación de determinadas cookies, las páginas web podrán instalar aquellas de forma automática. Esto obliga a la página web a reconocer el navegador y comprobar que la versión utilizada por el usuario sea una que o bien no acepte cookies por defecto o bien haya obligado al usuario a decidir sobre su aceptación durante la instalación o actualización del mismo.

En el resto de casos, queda prohibida la instalación de cookies en terminales de usuarios.

En el momento de la captura, el navegador almacena 1.361 cookies de las cuales 6 han sido generadas, tras la correspondiente aceptación del usuario, al acceder al sitio «www.abanlex.com», 4 de ellas son de analítica web (__utmX), una es técnica (PHP…) y la última ha sido generada a petición del usuario (wsj…)

4.- ¿Cómo puedo informar al usuario de forma clara y completa antes de instalarle una cookie?

Existen varios métodos para informar al usuario:

  • Página de bienvenida con información sobre cookies y botón de aceptar (Como las que preguntan si el usuario es mayor de edad).
  • Pop-up previo que suspenda la carga completa de la página hasta la aceptación.
  • Cabecera o pie de página con información y una caja de aceptación. Ejemplo: Abanlex
  • Paso previo de aceptación dentro del cuadro de reproducción de vídeos, juegos y otras aplicaciones web.
The Information Commissioner’s Office ha optado por un aviso sobre cookies en la cabecera de su web

5.- ¿Qué información tengo que dar al usuario antes de que pueda consentir el uso de cookies?

Antes de que se instalen cookies en el ordenador del usuario es imprescindible que el usuario las haya aceptado. Pero antes de que pueda dar esta aceptación es necesario informarle sobre los aspectos siguientes:

  • Qué es una cookie
  • Para qué usa cookies el sitio web (es recomendable usar ejemplos)
  • Qué cookies en concreto se le van a instalar
  • Dónde conseguir más información sobre las cookies
  • Otros relevantes, según el caso

6.- Hay alguna herramienta ya desarrollada que permita cumplir la Ley de Cookies

Sí. Son pocas y, al menos por ahora, ninguna está en español. A continuación comparto algunos ejemplos:

Plugins para todos los sistemas:

  • Cookie Collective: No lo he probado.
  • Portent: No lo he probado pero he leído en varios foros que su versión actual no parece que permita cumplir correctamente la Ley de Cookies.
  • Wolf Software: Permite un cumplimiento completo de la Ley de Cookies. Su instalación es relativamente sencilla (aunque me llevó más tiempo del esperado).
  • CookieQ: Tras haberlo probado, me parece excesivamente complejo para el usuario medio.
  • Cookie Control: Es sencillo para el usuario, completo, nada intrusivo y fácil de instalar (o eso me pareció).
  • ICO-Cookie-Warning: Conseguí instalar la barra de consentimiento pero no logré hacer funcionar correctamente el script, por lo que desconozco si funciona realmente.

Módulo para usuarios de Drupal:

Plugins para WordPress:

  • EU Cookie Law/EU Cookie Directive Compliance Plugin: Tras activarlo siguiendo sus instrucciones he comprobado que no consigue bloquear las cookies por lo que considero que no es un sistema adecuado para cumplir la Ley de cookies.
  • EU Cookie directive: Tampoco parece capaz de bloquear adecuadamente las cookies por lo que considero que no es un método adecuado para cumplir la Ley de cookies.
  • Cookie Control: No lo he probado.
La herramienta Cookie Control permite cumplir la ley de una forma elegante y poco intrusiva por medio de un icono desplegable ubicado en una esquina de la web

7.- ¿Afecta la Ley de Cookies a la navegación móvil, incluidos los eReaders y las tabletas (iPad, etc)?

Sí.

8.- ¿Hay alguna página web que ya esté adecuada a Ley de Cookies?

Sí.

Ejemplos españoles:

  • La Agencia Española de Protección de Datos (www.agpd.es): está adecuada a la Ley de Cookies porque no tiene cookies (a excepción de una cookie que se instala al acceder a su servicio E-Nquest y sobre la que podría informar -pero no lo hace- en su aviso legal).
  • El despacho de abogados Abanlex (www.abanlex.com): He tratado de predicar con el ejemplo así que, antes de escribir este post, he adecuado la página web de nuestro despacho: Abanlex. [Actualización: Hemos cambiado la gestión de cookies que hacemos en la página de Abanlex, por lo que ahora hacemos una gestión de cookies diferente a la indicada en este artículo].

Ejemplos no españoles:

  • The Information Commissioner’s Office
  • Delia Online
  • All things D
  • Radio Times
En la página web de Abanlex hemos optado por un aviso desplegable y no intrusivo que muestra información y pide consentimiento antes de la instalación de cookies de analítica web

9.- ¿Bastaría con incluir la información en el aviso legal para cumplir la Ley de cookies?

No.

Por regla general, el aviso legal no será suficiente para cumplir la Ley de Cookies. Sin embargo, hay excepciones:

  • Páginas de registro: El aviso legal sí servirá para informar sobre aquellas cookies que se instalen en un momento posterior. Por ejemplo, aquellas páginas que ofrezcan a sus usuarios procedimientos de registro podrán incluir en el aviso legal o en las condiciones de registro la información relativa a las cookies que se les vayan a instalar.
  • Servicios solicitados por el usuario: En el aviso legal se tendrá que incluir información sobre las cookies necesarias para la prestación de servicios que el usuario pueda solicitar a través del sitio web. Ejemplo: Aviso legal de Abanlex.

No es necesario informar acerca de las cookies que se instalen en el navegador del usuario como consecuencia de procedimientos de autenticación OpenID y OAUTH, por cuanto que ésta se realiza fuera del sitio principal.

10.- La página web de mi empresa está alojada en Facebook. ¿Estoy cubierto?

No. Estás incumpliendo la Ley de cookies.

Puedes decidir alojar tu página web en un servidor propio, en un servidor de un prestador europeo de servicios de alojamiento (RedCoruna me está dando muy buen resultado) u optar por crear la página de tu empresa en servicios de creación rápida de páginas web como 1&1, Wix, Webnode o Facebook, pero, en todo caso, estás obligado a cumplir la ley.

Hoy, todas las páginas de empresa en Facebook están incumpliendo la Ley de Cookies, incluida la página de la propia Agencia Española de Protección de Datos. Cuando los visitantes (no usuarios de Facebook) acceden a su página web alojada en Facebook automáticamente son bombardeados con cookies sobre las que la Ley de Cookies hace plenamente responsable al titular de la web.

(Al margen de todo esto, tengo curiosidad por ver el contrato de encargado del tratamiento que habrá firmado la AEPD con Facebook para el tratamiento de los datos de sus usuarios y fans en esa red social)

Una de las páginas de la Agencia Española de Protección de Datos (en concreto, la que ha creado y aloja en Facebook) instala al menos 4 cookies de la empresa estadounidense Facebook, Inc. a todos los usuarios que la visitan. En la pestaña de información de la fan page, la AEPD se reconoce naturalmente responsable del fichero de fans y permite dirigirse a ella para ejercer los derechos de acceso, rectificación, cancelación y oposición

11.- ¿Qué sucede con los prestadores de publicidad comportamental?

Las empresas que prestan servicios de publicidad o recomendaciones basadas en el comportamiento de los usuarios lo tienen muy difícil. La instalación de sus cookies requiere siempre la aceptación previa del usuario después de que haya tenido acceso a información clara y completa sobre el uso de la cookie que corresponda. El usuario puede otorgar este consentimiento en la página del prestador, en la página de un cliente del prestador en el que la herramienta esté instalada, en páginas especializadas como Your Online Choices o a través de la activación voluntaria de la correspondiente opción del navegador (cuando exista dicha opción).

Más información sobre publicidad comportamental: Guía sobre publicidad basada en el comportamiento.

12.- ¿Cómo es el proceso de adecuación a la Ley de Cookies?

Cada caso es diferente.

Por regla general, los pasos a seguir para adecuar una página web ya existente a la Ley de Cookies serán los siguientes:

  • Auditoría de cookies.
  • Inclusión de información sobre cookies en el aviso legal de la web. Ejemplo: Aviso legal de Abanlex.
  • Desarrollo informático de una aplicación que bloquée la instalación de cookies y muestre un aviso legal informativo adecuado a la norma.

13.- ¿Desde cuándo es obligatorio cumplir la Ley de cookies?

En España, desde el 1 de abril de 2012.

14.- ¿Qué me puede pasar si no cumplo la Ley de Cookies?

Multa de hasta 30.000 euros (o hasta 150.000 euros, en caso de que el incumplimiento sea significativo), conforme establecen los artículos 38 y 39 de la Ley 34/2002.

[Actualización: 10/9/2013] Se multa por no informar de forma válida. Recuerda que la Ley de Cookies incluye una novedad: antes la información debía ser clara y completa; ahora debe ser, además, previa a la obtención del consentimiento. Por tanto, la información válida debe ser clara, completa y previa.

Art. 38.3 LSSI «Son infracciones graves:

i) El incumplimiento significativo de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.»

Art. 38.4 LSSI «Son infracciones leves:

g) El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya una infracción grave.»

Art. 39.1 «Por la comisión de las infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones:

b) Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros.

c) Por la comisión de infracciones leves, multa de hasta 30.000 euros.»

El hecho de que la información deba ser previa, exige que haya algún tipo de consentimiento, expreso o tácito, otorgado por el usuario después de haber sido informado. Por tanto, no se sanciona la falta de consentimiento, sino que se sanciona que la información no sea la válida (clara, completa y previa).

No obstante, como para la imposición de la sanción se tiene en cuenta la repercusión social de la infracción cometida, por el número de usuarios afectados, y la gravedad del ilícito, estimo que las cantidades de las multas serán bastante bajas… cuando empiecen a imponerse.

15.- ¿Crees que se perseguirá a los infractores?

Si no se persigue a los infractores, ¿para qué sirve la ley?

Siendo realista, no creo que se persiga a los infractores siempre que sean pequeñas empresas, que las únicas cookies que tengan sean aquellas que permitan hacer estadísticas anónimas del uso del sitio web y que se note que estén haciendo esfuerzos por cumplir la ley como, por ejemplo, tener un aviso legal adecuado a la normativa. Aún así, una ley es una ley y hay que cumplirla.

16.- ¿Qué opinas de la Ley de Cookies?

Considero que las cookies pueden suponer un riesgo cierto a la protección de datos y que regular su uso es necesario. Pero no así. Esta norma es un absoluto despropósito por los motivos siguientes:

  • La ley está abocada al fracaso de facto por su incumplimiento generalizado.
  • El cumplimiento de la medida supone un desembolso económico totalmente desproporcionado en relación con el bien que se supone que se quiere proteger.
  • La norma relega a las empresas europeas a un segundo lugar con respecto a todos los competidores extracomunitarios cuyos usuarios no van a ser absurdamente bombardeados con banners pidiendo consentimiento para instalar cookies. Es una medida anticompetitiva y que va en contra de los intereses económicos de Europa.
  • La pérdida de capacidad de monitorización de actividad en páginas web y la dificultad extrema de crear negocios eficientes basados en el comportamientos de los usuarios provocará que las empresas españolas no sean competitivas. Europa ahoga su propio potencial de economía digital.
  • A la mayoría de los mortales le de exactamente igual el hecho de que se instale o se deje de instalar una cookie.
  • Lo adecuado habría sido dejar las cosas como estaban por ahora. O, como mucho, dictar una «recomendación», que para eso existe la figura en el elenco de tipos de actos unilaterales de la UE.

Actualización (29 de abril de 2012):

17.- ¿Cuántos usuarios aceptan la instalación de cookies?

El número de usuarios que acepta la instalación de cookies depende de varios factores entre los que se encuentran los siguientes:

  • Solución tecnológica escogida para el bloqueo de cookies: visibilidad del aviso (pop-up, faldón, icono al pie de la web…), sistema de aceptación (expresa mediante clic en «Acepto» o tácita mediante clic en cualquier parte de la web).
  • Mensaje de aviso que se muestre: Claridad, concisión, cercanía, agresividad…
  • Tipo de usuario.

Después de monitorizar durante una semana el acceso de visitantes al sitio web de nuestro despacho, el dato que obtengo es que menos de un 15% acepta la instalación de cookies. A continuación comparto algunos gráficos estadísticos.

Progresión de visitas en los últimos 2 años. En la gráfica se aprecia el ascenso continuado de la monitorización de visitas y el drástico descenso provocado por el cumplimiento de la Ley de Cookies

 

El mismo día en que comenzamos a cumplir la Ley de cookies, el número de usuarios monitorizados rozó el 0. Aumentó entre los días 9 y 13 de abril por las visitas recibidas desde este post.

 

Cumpliendo la Ley de Cookies monitorizamos solo al segmento de usuarios que aceptan la instalación de cookies (poco más del 13% del total)

Estaré encantado de leer vuestras dudas y comentarios.

Imagen de la bandeja sin cookies: Gravity X9
Post citado en el Boletín Jurídico de BBVA nº 275

 

EXTRA

  1. AVISO: Sanciones ya impuestas: 3.000€ y 500€.
  2. Este artículo sobre ‘Cómo cumplir la Ley de Cookies’ resultó ganador del premio al mejor post jurídico 2012, otorgado por Derecho en Red [Nota añadida el 9/8/2013].
  3. Notas adicionales:

109 thoughts on “Cómo cumplir la Ley de Cookies”

  1. Hola Pablo.

    Muy buen artículo; no obstante, en el punto de despropósitos, incluiría que el régimen sancionador actual de la LSSI no está adaptado a la obligación de obtener el consentimiento, por lo que, amparándose en el principio de tipicidad, dudo que la AEPD pueda llegar a sancionar a ninguna empresa mientras esto no cambie.

    1. Hola José:
      Muchas gracias. Me alegro de que te haya resultado interesante.
      La letra i del apartado 3 y la letra g del apartado 4 del artículo 38 de la LSSI (Ley 34/2002) sí prevén sanciones para los casos en los que se incumpla el punto 2 del artículo 22 de la misma ley:

      Artículo 38.3 Son infracciones graves: (i) «El incumplimiento significativo de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.»

      y

      Artículo 38.4 Son infracciones leves: (g) «El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya una infracción grave».

      Los apartados 3 y 4 del artículo 38 establecen como infracción el incumplimiento de las obligaciones de información del artículo 22.2. En concreto, la obligación que impone este artículo es de facilitar, respecto de las cookies, «información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos con arreglo a lo dispuesto en la Ley Orgánica 15/1999» antes de que el usuario dé su consentimiento. Por tanto no facilitar esta información antes del consentimiento (o, más sencillo, de instalarle cookies) supone una infracción de la norma.

      El artículo 38 no dispone expresamente que la falta de obtención del consentimiento supone una infracción porque éste (el consentimiento) bien puede ser tácito y porque, de cualquier forma, sí sería una infracción la ausencia de información previa.

      1. Pablo, disculpa que mi respuesta se haya hecho esperar tanto tiempo, pero te confieso que no recordaba haber escrito este comentario.

        Sinceramente, ese argumento implicaría estirar y retorcer la ley para que pueda cumplir con el principio de tipicidad que, recordemos, prohibe expresamente la analogía.

        La infracción sanciona no cumplir con A (información) y B (procedimiento de rechazo). Sin embargo, el 22.2, exige A (información), y C (consentimiento previo a la instalación de las cookies).

        Está claro que no se puede obtener un consentimiento previo sin información previa, pero sí se puede informar sin obtener consentimiento, y en este caso, se sanciona no informar, sin someterlo al consentimiento posterior a la información, lo cual debe quitarle el carácter de previo.

        Particularmente, en los tiempos que vivimos, me niego a conceder licencias de interpretación extensiva a las Administraciones que ejercen potestades sancionadoras. Si la AEPD exige el estricto cumplimiento de las normas en su tenor literal, no sé por qué los administrados debemos admitir que se nos sancione aplicando de forma laxa los principios que regulan el Procedimiento Sancionador, que existen, precisamente, para ofrecer al ciudadano unas garantías mínimas de seguridad jurídica y legalidad.

        Para mí, existe un claro defecto legislativo que nunca debería ser solventado en perjuicio del administrado si no es a través de un nuevo trámite legislativo.

        1. Gracias por contestar, José, y reavivar el debate con tu respuesta.

          No puedo estar de acuerdo, lo siento.

          El motivo es el siguiente: En este caso se sanciona la falta de «información previa a la instalación». El consentimiento es irrelevante.

          Cumplida la obligación de informar con carácter «previo» a la instalación, queda también automáticamente cumplida la exigencia de obtención del consentimiento, ya que éste puede ser otorgado de forma tácita.

          1. Lamento discrepar.

            Ni el 38, ni el 22 hablan de información previa a la instalación de la cookie. El 22 habla de consentimiento, previa información. El núcleo de la obligación no es la información, que siempre ha existido, sino el consentimiento.

            Y siendo honesto.. ¿de verdad no te huele a «cagada» legislativa? Podemos discutir lo que quieras en un sentido o en otro, pero la triste verdad es que se han olvidado de actualizar el artículo 38 para que sea coherente con el 22.

            En todo caso, siguiendo tu criterio de que lo importante es la información previa a la instalación de la cookie, bastaría poner un timing de unos segundos antes de instalarla… el tiempo suficiente para que un usuario se leyese el aviso legal si le interesase.

            Sin duda, esto solventaría en gran medida los problemas de la mayoría de las webs que son reticentes a cumplir con esta obligación.

            1. Si el consentimiento tiene que ser posterior a la información, la obligación de información a que hace referencia el artículo 38, en referencia al 22, ha de ser matizada con el adjetivo «previo». Es inevitable. Inclumplida la obligación de información previa, entra en juego el 38. El recabo efectivo del consentimiento carece de relevancia a efectos sancionadores. Por tanto, no creo que haya ningún error legislativo. El precepto me parece correcto.

              Y lo del timing, me parece excesivo, pero no me atrevo a negar rotundamente que podría resultar correcto en determinadas circunstancias. Lo que sí se está haciendo ya, con perfecto encaje en la ley, es poner un mensaje como éste: «si continua navegando por esta página o pincha en cualquier parte de ella, se le instalarán las siguientes cookies…»

              Me parecen muy interesantes tus reflexiones y bien argumentadas, aunque no coincidan con las mías.

              1. Lo del timing te parece excesivo, pero poner un pop-up, banner, o cualquiera de las técnicas de recogida de consentimiento no?

                Soy consciente de que mi postura es remar para morir en la orilla, ya que de una forma u otra, se tendrá que cumplir con la obligación de obtener consentimiento, pero sigo pensando que manteniendo las infracciones asociadas al antiguo 22.2, no se puede exigir el cumplimiento de su nueva redacción.

                Y, sinceramente, mantener lo del «procedimiento de rechazo» ya es evidencia clara del error… y no es la primera vez.

                Esto ya sucedió cuando la LGtel modificó el artículo 22 de la LSSI.. y meses después tuvieron que reformar el régimen sancionador a través de la Ley de Firma Electrónica.

                Por supuesto, también respeto tu criterio, pero sospecho que la ley será reformada otra vez.

                El tiempo lo dirá 🙂

  2. Interesantísimo artículo, Pablo. Mi enhorabuena por él.

    Esta normativa de cookies me parece muy pretenciosa e igualmente considero que el incumplimiento generalizado va a ser la constante. Además me parece muy acertada la indicación de que esta normativa, de cumplirse masivamente, nos sumergiría en una clara desventaja competitiva.

    1. Gracias, Jorge.
      Tienes toda la razón en que nos sumergiremos en una «clara desventaja competitiva». Y para muestra, un botón: Al activar el bloqueo de cookies en nuestra web (http://www.abanlex.com) ya no tenemos estadísticas fiables de cuántos usuarios han accedido o qué secciones han visitado porque menos del 10% de los usuarios acepta la instalación de cookies de Google Analytics. Para poder ajustarnos a la Ley Cookie he tenido que sacrificar (por ahora) todos los botones sociales de compartir contenidos en Twitter y LinkedIn. Además, he tenido que desactivar la herramienta de analítica web de de Quantcast que integra Automattic en su Jetpack de WordPress. Todo eso sin contar las horas dedicadas a adaptar la web para que el bloqueo sea efectivo. Sí, cumplimos la ley pero, ¿a qué precio?

  3. Gran artículo Pablo. Muy práctico. Yo, por mi parte, todavía estoy analizando los métodos técnicos. La problemática me surge por el consentimiento (puesto que no se indica si debe ser expreso o tácito). En este sentido, siempre estará presente la debatida cuestión sobre hasta que punto es vinculante para un usuario el Aviso Legal de un sitio web (mera navegación, aceptación expresa de éste…).

    Mi más sincera enhorabuena por el artículo.

    1. Te agradezco el comentario, Eduardo.
      Sin meterme en el jardín de la prueba de contenido, el aviso legal es vinculante siempre y cuando sea claro, comprensible y ajustado a la legalidad.
      En relación al tipo de consentimiento para proceder a la instalación de cookies, la ley permite que sea tácito. Dos ejemplos:
      – Es posible y válido un sistema tal que avise al usuario, por medio de un mensaje emergente (con contenido acorde a la norma), que al hacer clic en cualquier pestaña o enlace de la web se generán y alojarán en su navegador las cookies correspondientes.
      – Si el acceso a una sección determinada a la que no se pueda acceder directamente a través de buscadores ni deep links -por ejemplo, una zona privada de la web o un contenido embebido que requiera acción directa del usuario para su activación- supone la instalación de cookies, bastaría con la pertinente indicación al respecto en el aviso legal, siempre que éste pueda ser consultado desde la home o la ventana de acceso a dicha sección.

      1. Hola Pablo, muy buen artículo.
        Entiendo entonces por este comentario, que un mensaje como el de vuestra web, informando sobre la «instalación» de cookies podría ser «suficiente», si además, damos la opción de desinstalar las cookies?

        Gracias!

        1. Hola Álvaro:
          Gracias por tu comentario.
          Cada caso es diferente. En el nuestro, poner ese aviso ha sido parte de la solución. Lo mejor es que consultes a tu abogado tecnológico de confianza.

  4. un artículo estupendo, y le pregunto al autor o a los que intervienen Si as únicas cookies son las de Google Analytics en una web societaria, existen las mismas obligaciones?

  5. Hola Pablo,

    A mi personalmente me parece excesivo exigir una aceptación expresa mediante pop-up o similar para aceptar la cookie, ya que la propia reforma dice que cuando sea técnicamente posible será suficiente con la configuración del navegador. Entiendo por tanto que efectivamente el prestador debe hacer referencia expresa a las cookies en la web, en una nota informativa en el aviso legal o la política de privacidad por ejemplo, sistema válido por otro lado según la AGPD para la prestación del consentimiento en cuanto al uso de datos personales, con lo cual aquí con mayor medida.

    1. Hola Javier:

      A mí también me parece excesivo, pero así lo dispone el artículo citado siendo imperativo el carácter de la norma:

      Art. 22.2LSSI: «[Se permite la instalación de cookies en los navegadores de los usuarios] a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización«

      El cumplimiento de la norma exige un esfuerzo que puede parecer desproporcionado, generar rechazo y hacernos pensar que todo sigue como estaba antes de la reforma y que aquí nada ha pasado (fase de negación). Pero su claridad es meridiana: La instalación de la cookie debe hacerse «después» de que el usuario haya dado su consentimiento, que ha de ser a su vez «después» de que se le haya facilitado la información. La norma no dice «durante», «antes» o «al mismo tiempo»; tampoco obvia mención alguna. Dice «después». Es bastante expresa al respecto.

      Si antes de que el usuario pueda acceder al aviso legal ya se le han instalado cookies, el sistema es contrario al precepto.

      El consentimiento bien puede ser otorgado de forma expresa o tácita; nada dice la ley al respecto, por lo que considero perfectamente válido un consentimiento tácito. Pero eso no quita que debe ser anterior a la generación de la cookie. Como he comentado más arriba, un sistema de consentimiento tácito puede ser la ubicación de una nota al respecto en la página inicial de la web (/home) con advertencia expresa de que la navegación por el sitio (o simplemente con hacer clic en cualquier parte de la página) supone la generación de cookies en el navegador del usuario. Casi bastaría con que el usuario moviese el ratón por la web para que se entendiera prestado dicho consentimiento sin necesidad de que lo haya prestado de forma expresa.

      Hay otro aspecto fundamental de la norma. Los abogados IT tendemos a pensar que todo es protección de datos y resulta que el primer párrafo del apartado segundo del artículo 22 de la LSSI tiene dos componentes, uno de los cuales efectivamente corresponde a protección de datos, pero el otro no. El precepto está ubicado en el Título III de la ley, dedicado a las obligaciones relativas a las comunicaciones comerciales por vía electrónica. En concreto, el artículo 22 se refiere a los Derechos de los destinatarios de servicios. Son Derechos que no se limitan a desarrollar los ya contenidos en la normativa de protección de datos sino que, más allá, los complementan y completan, incluso alcanzando cierta autonomía orgánica. Por lo que respecta al apartado 2 del artículo 22, comienza el precepto indicando bajo qué condiciones pueden los prestadores de servicios utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios. Y, a continuación, expone la norma qué información ha de ofrecerse, que debe ser la relativa a su funcionamiento, aclarando que, «en particular«, habrá de incluirse la relativa a los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Por tanto, resulta obvio que la protección de datos tiene una especial incidencia en la norma por cuanto que una de las cosas sobre las que habrá que informar es de la finalidad del tratamiento, cuando lo haya. Pero no ha de olvidarse que, poniendo este párrafo en relación con el tercero del mismo apartado, que exime excepcionalmente de la obligación de información previa en caso de uso de cookies técnicas y de aquellas estrictamente necesarias para servicios expresamente solicitados (dejando el resto no exceptuados), la mera instalación automática de cookies, rastreen o no la actividad del usuario, requieren de consentimiento -tácito o expreso- anterior a su instalación.

      Salvo mejor interpretación, Javier.

      Mi interpretación está basada en la que han hecho del precepto europeo los organismos de protección de datos de Francia y Reino Unido. Y puesto que la Directiva es única y ha de hacerse «interpretación conforme» (no con Francia y Reino Unido, sino de la Ley conforme a la directiva)… Sugiero [/fase de negación].

      En relación a los navegadores, no hay a fecha de este comentario, navegador alguno que cumpla los requisitos del 22.2 LSSI.

  6. Desdeluego el texto da para opiniones. En mi opinión, el párrafo segundo del art. 22.2 creo que deja claro que si has consigurado el navegador para aceptar cookies y éstas se instalan, el consentimiento es válido. Hay que tener en cuenta que hoy en día un usuario medio debe conocer la operativa de las herramientas de Internet básicas, como es el caso de la configuración de privacidad.

    Simplemente un apunte, el hecho de navegar por una web no supune la aceptación de condición alguna, ni del aviso legal ni desdeluego de las cookies. Creo que es importante señalarlo ya que es un error muy habitual de los avisos legales pensar que sólo con indicar unas menciones el usuario está vinculado contractualmente, y no es así.

    Como digo, lo que supone el consentimiento es sólo la configuración del navegador. No sé si lo he explicado bien.

    Y en realidad el último párrafo de la norma no exime de información, pues iría en contra de las obligaciones en materia de protección de datos, sino sólo del consentimiento. Esto es, si la instalación de la cookie es imprescindible para procesar un pedido por Internet ya que tienen que guardarse los datos de la sesión del usuario, y éste debidamente informado de esto, decide comprar, entonces no hace falta autorización previa.

    1. La configuración del navegador bastará cuando sea técnicamente posible y eficaz recabar el consentimiento del destinatario para el tratamiento de los datos. Pero actualmente no existe un navegador que ofrezca la configuración de parámetros adecuados para que tal consentimiento, que ha de ser conforme al párrafo primero del 22.2, sea eficaz. Hasta donde yo conozco, los navegadores actualmente ofrecen la posibilidad de bloquear todas las cookies, preguntar antes de aceptar o aceptarlas todas, pero no ofrecen un sistema de discriminación o selección activa informada.

      Lo adecuado sería que existiese un elenco de cookies estándar que permitiera la aceptación selectiva vía navegador, de tal forma que el usuario pudiera aceptar mediante una acción expresa a tal efecto en el momento de instalación o actualización del navegador, las cookies de análitica web o las de recomendaciones comportamentales o las de reforzamiento de seguridad en pasarelas de pago o cuales otras quisiera. De esta forma, antes de aceptar las cookies el usario habría tenido acceso eficaz a la información referente al uso y finalidad de las cookies, que se complementaría con la que además debe fijarse en el aviso legal.

      En cuanto al párrafo tercero, exime de la obligación de información previa, distinguiendo así de forma aún más clara aquellas cookies sobre las que basta una información en el aviso legal de las que, además, requieren un consentimiento informado por parte del usuario. Al citar la excepción me refería a la de información previa, no a la genérica (gracias por apuntarlo). De hecho, esta diferenciación entre cookies que requieren solo información frente a las que además requieren consentimiento previo a su instalación me parece fundamental a la hora de interpretar el precepto.

      En cuanto al carácter vinculante contractual del aviso legal, qué duda cabe que no todo aviso legal puede ser tenido como contrato. En cambio, en tanto en cuanto lo estipulado en el mismo se refiera, de forma clara, comprensible y conforme a la legalidad, a aspectos sobre los que el titular de la página decida obligarse frente a terceros, la oferta publicada puede perfectamente constituir contrato vinculante para las partes (siempre que su contenido sea conocido por el usuario -cuestión meramente probatoria, con las típicas dificultades procesales-). Así, una web-repertorio de imágenes en cuyo aviso legal se estipule una cesión de las mismas acogiéndose a una licencia CC, constituye contrato vinculante entre el licenciante y los usuarios que legítimamente las extraigan y usen conforme a la licencia indicada. Lo mismo ocurre con garantías comerciales que por su amplitud cubran y excedan las legales: aunque figuren en el aviso legal, son perfectamente vinculantes por integrar o formar parte sustantiva del contrato de c-v. Igualmente sucede en el caso de las cookies: si por medio de la navegación a través de una zona privada de la web se instalarán cookies acordes al principio de calidad de los datos del 4 LOPD, qué duda cabe que el aviso legal es vinculante en la medida en que avisa de dicha instalación con carácter previo a su instalación.

      Pero, como dices, Javier, el texto da para opiniones (interpretaciones, más bien).

      1. Hola Pablo, excelente artículo muy claro para los que nos dedicamos al análisis y medición de la actividad online.

        Quería comentarte, creo que Google Chrome si permite la selección de excepciones para la configuración de las cookies, como puedes ver en este enlace chrome://settings/contentExceptions#cookies

        Sería suficiente para cumplir con el párrafo primero del 22.2?

        Muchas gracias.

        Jaume

        1. Buenas, Pablo

          Enhorabuena por el artículo.

          Veo algo de incongruencia en las palabras del comentario de Javier por cuanto manifiesta que los usuarios hemos de conocer cómo lidiar con la configuración de privacidad y después dice que el mero hecho de visitar una web no implica consentimiento del aviso legal y/o política de privacidad.

          Quizás una buena continuación sea un post específico al respecto del consentimiento, donde habrás de tener en cuenta lo que dice el art. 15 RLOPD, pues entiendo la negativa al derecho de oposición hace bueno aquello de que dos negaciones afirman, por lo que puede llegar a entenderse que existe consentimiento expreso por omisión. Menudo trabalenguas, no? Encaja esta figura parida en nuestra legislación de telecomunicaciones y despues en el RLOPD en el marco de privacidad europeo?

          Tampoco estoy demasiado de acuerdo con tus conclusiones, pero sería muy largo de explicar.Lo mismo quedamos a comer, que ya hace ni sé el tiempo, y aprovechamos ;-p

          Un saludo

          1. Hola,

            Es que una cosa es exigirle un mínimo al usuario y otra que se alteren las reglas de contratación y formación del consentimiento.

            Un error muy común es redactar un Aviso Legal como si fuera un contrato y presuponer que es fuente de obligaciones por arte de magia por la simple visita a la web, ni siquiera a dicho Aviso Legal.

            Esto va contra el sentido común, el Código Civil y la legislación sobre condiciones generales de la contratación, que requiere que la aceptación sea sobre los propios términos, y una confirmación posterior de la contratación, que no existe. Esto sin contar con los problemas de prueba.

            El Aviso Legal es un documento meramente informativo, no contractual, de ahí que todo lo que se escriba que vaya más allá de lo que ya obliga o reconoce la ley no tiene efectos. Con la Política de Privacidad lo mismo, fíjate que para que la AGPD reconozca que la información y el consentimiento se presta no basta con que esté en la web sino que exige en la práctica que lo aceptes con un checkbox.

            Un saludo,

  7. GENIAL EL ARTÍCULO.
    Ahí quería llegar yo, al caso práctico.
    De momento solo he probado en WP, cookie control.

    Si no es mucha molestia, en abanlex, ¿cuál de los que citas has usado? Yo de momento pruebas con cookie control.

    Y ya puestos, la configuración del navegador no me gusta como consentimiento, salvo que fuera similar a cuando el navegador nos pregunta «¿quieres que sea el predeterminado?», y con un click bloquee o acepte.

    Un saludo.

    1. Hola Santiago:
      ¡Gracias!
      Nosotros hemos usado la solución de Wolf Software.
      Si consigues bloquear la cookie __qca sin desactivar WordPress Stats, te estaría muy agradecido si compartieras el know how.

      1. Una pena, porque Cookie Control no bloquea. Esta pensado para aceptar o indicarle al usuario como bloquear a través de su navegador.

        Pero seguiré investigando y te diré algo.

        Un saludo.

  8. Enhorabuena por el post, Pablo. Me gustaría saber tu opinión sobre cuáles son las perspectivas para las empresas que distribuyen soluciones de pago de analítica web o social analytics? Gracias

    1. Hola Rubí:
      Por ahora su respuesta es «no es mi problema». Estas empresas aportan su solución analítica y se desentienden de la parte legal porque la responsabilidad es del cliente.
      Lo que sí va a haber es más oferta de servicios analíticos basados en las URLs personalizadas (si me acuerdo del nombre genérico de este servicio lo pongo aquí), sin cookies.

      1. Gracias, Pablo.Por favor, me interesa cualquier aspecto que tenga que ver con este tema. Un abrazo. Rubí

  9. Buenos días, Pablo. Gran artículo.

    ¿De qué forma afecta esto a un blog personal con banners de publicidad que sí utilizan cookies? ¿Tengo algo qué hacer en ese caso o es cosa de la plataforma de afiliación que controla el banner y las cookies?

    Perdona si aparece la respuesta en el artículo pero no he conseguido encontrarla.

    Gracias!!

  10. Hola Pablo, interesantísimo tu artículo. Gracias por el esfuerzo, se agradece verdaderamente.

    Después de leerlo se me queda una pregunta: en el «apartado» 10 de tu artículo dices que «Ley de Cookies hace plenamente responsable al titular de la web». Esto es así siempre? Incluso cuando hay un anunciante, por ejemplo, que es el que pone las cookies en la web? Hay algún sitio de la ley en que se diga esto de forma expresa?

    Muchas gracias, mucho ánimo y sigue así.

    Pedro

    PD. Totalmente de acuerdo con tu conclusión: nos estamos autoboicoteando con cosas inútiles.

    1. Hola Pedro:
      Me alegro de que te haya resultado interesante.
      En atención a tu pregunta, te indico que todo el Capítulo II del Título I de la Ley 34/2002 está dedicado a especificar de forma expresa a quiénes les será de aplicación la norma.

        1. Hola Pedro:
          Considero que la LSSI es bastante clara al respecto. Basta con poner en relación el Capítulo citado con el artículo 22 de la misma norma para advertir quién es el sujeto obligado. A salvo, por su puesto, de las cuestiones sobre determinación de la responsabilidad que se puedan suscitar por, por ejemplo, de la generación inadvertida de cookies derivada de órdendes emitidas por terceros por razón de cambios -no debidamente notificados y, en su caso, autorizados- en creatividades activas mostradas a través de códigos de invocación.
          En cualquier caso, si sigues con dudas al respecto, tu abogado tecnólogo de confianza seguro que te sabe indicar cómo interpretar la norma para el caso concreto que le plantées.

          1. Gracias Pablo. Te agradezco mucho el tiempo, el esfuerzo y el resultado. Da gusto. Perdón si ha parecido un tanto impertinente mi anterior respuesta.

            Un abrazo, suerte y animo!

  11. Hola Pablo

    Gracias por el enorme esfuerzo invertido en este post, con una buena disección de casuísticas. Creo que tanto la opción original de la ICO en Reino Unido como la que has adoptado en tu web (faldón pidiendo permiso) caerán en el olvido en muy pocas semanas.

    Para empezar, las directrices GDS ya emitidas en aquel país, y aplicadas a webs gubernamentales, ya dejan fuera de permiso las cookies «analíticas». Además, acaban de entrar en vigor varias transposiciones nacionales que permiten volcar esfuerzos en la notificación y auditado (sobre todo en el caso de cookies de baja «intrusión»). En cualquier caso, he puesto aquí todo lo que hemos podido recabar estos días a nivel de derecho comparado, con otro ejemplo de cumplimiento.
    Saludos

  12. Negando la mayor!
    Muchas felicidades por el artículo, y a todos los participantes en los comentarios pues me parece bastante interesante la mayoría de las opiniones leidas. Yo planteo el siguiente caso tanto para tí como para tus lectores.
    En una página web determinada, existen cookies para facilitar pasar parámetros de una página a otra, así como de análisis estadístico, pero la navegación en la web es anónima, el usuario no se ha identificado, luego todos esos datos previos recavados no son asociados a un usario identificado por lo que a mi entender no son datos de caracter personal y no es aplicable la LOPD. Luego una vez que el usuario se registre o de sus datos para la compra online, o quiera enviar sus datos mediante un formulario, etc si se debe informar al usuario y recabar su consentimiento expreso. En esa fase el usuario ya está «educado» a aceptar condiciones de uso, aviso legal, etc.
    Saludos a todos/as,
    Severo Tabares.
    (ti-consulting.com)

  13. Si aún no se cumple en un altísimo porcentaje con la obligación de información del art. 10 LSSI-CE, pedirle a los sitios web profesionales que se adapten a la nueva normativa sobre cookies me parece una quimera. No hace más que reafirmarme en la sensación de que la legislación TIC parece elaborada por personas ajenas a la nueva realidad que se nos presenta (por no hablar de las resoluciones judiciales).

    En cualquier caso esta «Ley de cookies» no hace más que aplicar alguno de los preceptos (también en algunos casos desorbitados) de la LOPD-RLOPD.
    Aprovecho para enviarte un saludo Pablo.
    Un saludo.

    1. Hola Javier:
      Así también lo veo yo.
      Sería más razonable permitir el uso libre de la tecnología, limitar el alcance de la regulación al establecimiento de las sanciones oportunas cuando la explotación referida afecte a derechos de terceros y perseguir los incumplimientos existentes de normas de importancia relevante.
      Determinar que una Red libre de cookies y repleta de pop-ups es segura solo es propio de legisladores más pendientes de las excepciones merecedoras de sanción que de las generalidades comerciales nacionales.
      Saludos a ti también, Javier. Un placer verte por aquí.

  14. Hola Javier! Yo también soy escéptico con que la ley se cumpla (al menos de forma correcta).. Pero más dudas tenía con que se dejase de fumar en los bares y mira.

    Creo que la negociación de la IAB con la AEPD ha sido un fracaso… Pues no han conseguido el objetivo primordial (que las cookies se pudieran instalar por el mero acceso).

    En fin, veremos cómo evoluciona el asunto.

  15. Buenas tardes Pablo.
    Muchas gracias por el artículo me ha parecido muy esclarecedor.

    Me quedaría una duda:
    En el punto 3.A, comentas que esos dos tipos de cookies quedarían excluidas del deber de obtención del consentimiento, pero no del deber de información (en el aviso legal).
    ¿No quedarían eximidas de ambas obligaciones: consentimiento + información?
    ¿No quedarían fuera de todas las obligaciones del artículo 22.2 de la LSSI-CE?

    O sea, si alguien tiene una Web que solo usa una cookie puramente técnica para permitir la comunicación con la red, por ejemplo, ¿tiene que modificar su Política de Privacidad para informar de esta cookie?

    Muchas gracias.
    Saludos.
    Ángel M.

    1. Hola Ángel:
      Las cookies técnicas estrictamente necesarias para una comunicación telco o para un fin expresamente solicitado por el usuario no necesitan ser indicadas en el aviso legal, a menos que por medio de ellas se traten datos personales.

      1. Hola Pablo.
        Pero en ese caso (tratar datos personales) sería también obligatorio el mecanismo de consentimiento (botón, popup, etc.), ¿no?

        Lo que quiero decir es que no veo en la Ley o en la Guía casos de cookies con obligación única de «solo informar». Las cookies que no requieren consentimiento, en realidad tampoco necesitan información (no digo que no sea buena práctica informar por ejemplo en la Política de privacidad o de Cookies de cookies que no requieren consentimiento, digo que creo no sería obligatorio hacerlo por Ley).

        ¿No van siempre información y consentimiento juntos, para todas las cookies?

        Muchas gracias.

        Saludos.

  16. Excelente artículo y merecido premio. Si alguien está interesado en incorporar un módulo relacionado para Prestashop, puede echarle un vistazo a CookiesLaw, es gratuito y cumple la función perfectamente.
    En este artículo hay más información sobre el mismo así como posiblidad de descargar directamente el zip con la traducción en español, ya que como bien comentabas ninguna de estos scripts y aplicaciones tiene la versión en español.

    Saludos.

  17. Excelente artículo y merecido premio. Si alguien está interesado en incorporar un módulo relacionado para Prestashop, puede echarle un vistazo a CookiesLaw, es gratuito y cumple la función perfectamente.
    En este artículo hay más información sobre el mismo así como posiblidad de descargar directamente el zip con la traducción en español, ya que como bien comentabas ninguna de estos scripts y aplicaciones tiene la versión en español.

    Se me olvidaba el enlace: http://abrasutiendaeninternet.blogspot.com/2013/08/modulo-gratis-cumplir-ley-cookies-prestashop.html

    Saludos.

  18. Según he leido en un informe de la agencia no es necesario que el usuario acepte mediante la pulsación de un botón, continuando con la navegación hacia otra página o simplemente haciendo scroll sobre ella está dando su consentimiento, este dato es importante porque conseguir que den el click puede ser una odisea con la desinformación que hay y lo cagona que es la gente, por no decir que la mayoría no saben ni de que les hablas y piensan que les vas a instalar una bomba en su ordenador.

  19. Mi más sinceras felicitaciones por el artículo, que me ha sido de enorme utilidad.
    Ya fue un placer disfrutarte este año como profesor y todavía mayor como profesional del Derecho.
    Muchas gracias.

  20. Muchas gracias por la información. Estudiaré las diferentes opciones.
    Me gustaría enviarte una compensación por la información recibida.
    Ofrezco servicios de aceleración web (WPO).
    Veo que la página principal de abanlex ocupa aprox. 880KB
    Fácilmente se podría dejar en los 330KB, por lo que se aceleraría notablemente su carga, con los beneficios que ello conlleva: mejor experiencia de usuario, ahorro de ancho de banda, mejoras SEO,…
    ¿Dónde puedo enviarte las mejoras?

  21. Creo que no se ha interpretado correctamente la ley::
    «Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.»

    Si Vds. aseguran que su cumplimiento aplicando sus propias técnicas de consentimiento están abocadas al fracaso eso quiere decir que NO debemos hacerlo como Vds. aseguran.

    El método que yo usaría sería el siguiente: incluir un enlace que explique qué cookies hay y para qué se usan (lo cual es trivial para quien las haya programado, salvo que haya fines perversos; aunque puede ser tedioso para los que usen publicidad, pues tendrían que informarse sobre las cookies que ellos aplican) y, si el usuario está de acuerdo, entonces es obligación suya reactivar las cookies con el navegador para esa página.

    Esto es, quien hace click en el navegador es como quien conduce un coche, debe tener una culturilla general porque o si no, todas las leyes que lo protejan serían de imposible cumplimiento por parte de todos los administradores que tendrían que preocuparse por cada uno de los tipos de torpezas que tengan los internautas.

  22. Enhorabuena por el artículo! Un poco de luz ante tanta oscuridad!

    Estoy de acuerdo con que la puesta en marcha del aviso por el uso de Cookies resulta intimidatorio para los usuarios. El concepto resulta técnico para el usuario «de a pie» y por lo tanto, como le suena que le están entrando en el ordenador, prefiere abandonar la página.

    Mientras no encuentre fórmula aceptable, mi recomendación será el incorporar dentro de Aviso Legal que se están utilizando Cookies.

    Gracias de nuevo por el artículo!

  23. Brillante el artículo! Comentas que habéis adaptado la página de vuestro despacho (www.abanlex.com) pero entrando en ella se fijan dos cookies (PHPSESSID/abanlex.com y PREF/google.com). Siendo estrictos con el cumplimiento de la ley, ¿no se debería evitar incluso que se fijen esas dos cookies?

      1. Por favor no ser paranoicos, que las cookies están permitidas, las que no están permitidas son las relativas a la captación de datos personales.

  24. Yo tengo un blog y no pienso cumplir la ley de cookies. Basicamente he ocultado los datos del dominio. Nunca me llegara la multa!

  25. Si incluyes publicidad no tener los datos accesibles en tu blog conlleva otra multa y no seas ingenuo, esto se hace mediante una inspección y te aseguro que te localizarán y si les cuesta mucho será peor para ti.

  26. Buenos días, tengo una tienda online con prestashop que me carga una cookie nada mas iniciar, esas cookie es necesaria para que funcione el sitio, inicialmente no recoge los datos del usuario hasta el momento que se inscriba o algo que es entonces cuando guarda los datos, ahi entieno que es ilegal usarla, pero en el inicio si cargo esa cookie y luego le pregunto al usuario y me dice que no consiente, y acto seguido borro esa cookie y lo saco del sitio, este proceso de vida que sigue la cookie seria ilegal?

    Gracias

    1. La cookie que haces referencia es de las llamadas técnicas por lo que no te afectaría, aunque seguramente usarás Google Analytics y entonces sí tendrías que cumplir…
      Este script http://cookielawer.blogspot.com.es/
      es compatible con Prestashop (no es módulo pero basta con incluir el javascript en el header.tpl de la plantilla que uses) y que sí cumple con el requisito de de cargar ninguna cookie afectada por esta normativa hasta obtener el consetimiento expreso del usuario.

      Saludos.

  27. Administro la web del AMPA de un colegio. Es necesario que esta web cumpla la ley de cookies? Mucahs gracias

  28. En el pasado Consejo de Ministros del viernes 13, junto con la Ley General de Telecomunicaciones apareció esta modificación de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, del 11 de julio de 2002. La diferencia es mínima pero muy importante para todos aquellos que desarrollan su actividad en Internet.
    Ya no se necesitaría un botón para que el usuario autorice la instalación y bastaría simplemente que el usuario continuara la navegación para que se entienda que está de acuerdo con la instalación de dichas cookies, que hoy por hoy es la práctica más habitual de la mayoría de las empresas.
    Las modificaciones se han remitido al Congreso, por lo que todavía tienen que pasar el trámite parlamentario oportuno y podrían sufrir algún pequeño cambio o retoque.

  29. Hola Pablo, quizás es una pregunta estúpida, pero es mejor preguntar. Yo tengo mi sitio alojado en USA ¿Estoy obligado a respetar la ley Cookie?
    Gracias anticipadas y felicidades por tu aporte.
    Saludos

  30. Hola: Me parece muy interesante su artículo así como el post de Jose del pasado 8 de octubre.

    Pero hay una cosa que he hecho por curiosidad y es que navegando por las webs oficiales de las instituciones de España he podido comprobar que sí instalan cookies y no precisamente de sesión ni técnicas. ¡Y no avisan! O sea incuplen la ley que tanto nos fastidia….

    En fin, que susto estos fantasmas de hallwen…jajaaa ;)))
    Saludos

  31. Hola Pablo! Muy interesante tu artículo! Me voy a poner manos a la obra poniendo el mensaje de advertencia en mis blogs y me gustaría comentarte algunas dudas:
    1. ¿Para mi blog personal en el que tan solo tengo publicidad Adsense es necesario o solo es para blogs comerciales?
    2. Me gusta mucho el tipo de mensaje que utiliza http://www.blogpocket.com/ que aparece abajo y dice: «Blogpocket usa cookies: si continúas navegando consideramos que aceptas su uso» Pero tengo la duda de si esto sería 100% legal o habría que pedir expresamente el consentimiento al usuario al que habría que obligar a aceptar haciendo clic en algun sitio concreto?
    Un saludo y gracias de antemano

  32. Hola, un artículo muy completo, pero tengo una pregunta, ¿cómo se sabe cuantas cookies utiliza un sitio web? ¿hay algún programa para comprobarlo? es para poder informar al usuario de que cookies se le instalarán. Gracias, un saludo.

  33. Hola me gusta mucho tu articulo. Estoy interesada en un modulo para prestashop. Me puedes decir si alguno de los que has publicado sirve para prestashop??
    Estaria muy agradecida
    Mil gracias!!

  34. Hola Amparo,

    Hay un script compatible con Prestashop (no es módulo pero basta con incluir el javascript en el header.tpl de la plantilla que uses) y que sí cumple con el requisito de de cargar ninguna cookie afectada por esta normativa hasta obtener el consetimiento expreso del usuario.

    Puedes encontrar toda la información aquí: http://cookielawer.blogspot.com.es/

    Saludos.

  35. Hola la Directiva ha sido objeto de transposición literal o ha sido modificada ? En este ultimo supuesto es posible impugnar el Artículo 22.2 de la Ley 34/2002 asi como las sanciones porqué desproporcionadas lo que supone una vulneracion de la CE ? Existe un grupo o asociación dispuesta en ponerse en accion ?
    Gracias y saludo.

  36. Buenas Pablo. Magnífica entrada.

    Quería comentar, respecto a los gráficos de visitantes después de cumplir la ley, me pareció entender que vosotros no teneis aceptación tácita, cierto? Entonces el descenso de visitas puede venir dado a que no aceptaron en ningun caso la cookies, aunque navegaron por varios apartados de vuestra web? Si se hubieran aceptado de forma tácita, tienes calculado el % de visitantes que hubieseis perdido?

    La verdad que me has «asustado» un poco con la entrada. Tengo una mediocre web de una media de unas 8-10 visitas por día y no sé si vale la pena invertir tiempo en eso, aunque tienes razón que la ley está por cumplir. Tal vez sería «suficiente» añadir un Aviso Legal. Qué opinas?

    Gracias

  37. Como l@s internautas reciben cada vez más abusos a su confianza, hemos publicado en nuestro blog unas pautas de cómo instalar el aviso y política de cookies en webs para mantener una comunicación de confianza y para saber parte de nuestros derechos digitales. Hemos editado en http://culturasocial.org.es/instalacion-del-aviso-y-politica-de-cookies/ las pautas para percibir la correcta adecuación de la la Ley de Cookies y ofrecer nuestros contenidos digitales en consonancia con el respeto a los derechos vinculados a una navegación confiada y segura. En dicha entrada se han integrado los dos enlaces a tus artículos vinculados a la Ley de Cookies. Saludos y felicidades por tu buena disección de la complejidad de aplicar bien esta norma.

  38. tu web abanlex no cumple estrictamente con la ley de cookies, he limpiado el navegador de cookies, he abierto la web http://www.abanlex.com, inmediantamente he mirado qué cookies se han instalado y había de google y de abanlex. Y no he pulsado aceptar ni ha pasado 5 segundos, asi que no, no predicas con el ejemplo.

    «El despacho de abogados Abanlex (www.abanlex.com): He tratado de predicar con el ejemplo así que, antes de escribir este post, he adecuado la página web de nuestro despacho: Abanlex.»

    Es muy complicado (no imposible) conseguir que una web medianamente compleja lo logre, hay que depurar el codigo con lupa para poder hacerlo, me recuerda cuando se quería depurar tanto el codigo para que se cumpliera a rajatabla los estandares W3C, es más, el mismo aviso de cookies tiene una cookie, ya que sólo sale la primera vez que visitas la web, las siguientes veces no se muestra porque se supone que si aceptas una vez, las siguientes tambien aceptarás, por lo que se instala una cookie para recordar que no se debe sacar ese popup.

    Bien es cierto que esta ley es absurda, las cookies existen desde los años 90, lo que pasa que la sociedad se está volviendo muy obsesiva, trastornadamente compulsiva obsesiva por la privacidad y la imagen, y tambien hay malas artes del uso de las cookies para mostrarte publicidad en funcion de tu perfil, de qué webs visitas, qué, cuándo, cómo y dónde clickas, y del contenido que navegas, pero a este paso cuando mires a alguien por la calle te puede llegar a denunciar por derechos de imagen.

    la cuestion es… ¿cambiamos todas las webs y hábitos de navegacion ante una ley tan radical o esperamos a que la ley se adapte a las costumbres de la sociedad virtual?.

    1. Tienes razón, Germán. El 27 de noviembre de 2013 decidimos dejar de cumplir esta «ley injusta» en nuestra web, retiramos el script e instalamos cookies a todos los que acceden. El banner que hemos dejado puesto, absurdo a todas luces, es una crítica irreverente a la ineptitud del legislador. Acabo de actualizar este post para que se ajuste a la realidad.

  39. Hola buenos días. Felicitaciones por el artículo. En todo caso, me queda una duda. Soy usuario del servicio de e-mail marketing MailChimp y no tengo claro si al usar este servicio estoy incumpliendo con la Ley de Cookies. No sé si puede arrojarme algo de luz al respecto. Muchas gracias. Javier

  40. Qué artículo tan bueno y tan completo!!!!
    Esto es un manual para el cumplimiento de la «ley de cookies».

Comments are closed.

En caso de que deje un comentario, sus datos serán tratados por Pablo Fernández Burgueño con la finalidad de mantener publicado su mensaje hasta que decida suprimirlo. Tiene derecho a acceder, suprimir, rectificar los datos y otros derechos, como se explica en la política de privacidad
Ir al contenido