Guia-Cookies Marketing
Guia-Cookies Marketing
Guia-Cookies Marketing
INTRODUCCIÓN 5
2. TERMINOLOGÍA Y DEFINICIONES 11
2.1 COOKIES Y TECNOLOGÍAS SIMILARES 11
2.2 DATO 13
3. OBLIGACIONES 15
3.1 TRANSPARENCIA 15
3.2 CONSENTIMIENTO 23
3.2.6 Obtención del consentimiento para el uso de cookies cuando un editor presta 28
servicios a través de diferentes páginas
4.2 EL EDITOR O LOS TERCEROS UTILIZAN LAS COOKIES PARA FINALIDADES NO EXCEPTUADAS DE LAS 30
OBLIGACIONES DE INFORMAR Y OBTENER CONSENTIMIENTO
ANEXO I 33
ANEXO II 39
Guía de cookies
INTRODUCCIÓN
Internet juega un papel fundamental en la Más allá de las contribuciones directas e indirec-
sociedad y es uno de los pocos sectores de la tas a la economía, la publicidad digital también
economía que actualmente continúa creciendo, aporta un importante valor añadido al ciudadano
posicionándose como pionero en la economía en su rol de consumidor, dado que esta le provee
local y europea. Internet contribuye actualmente de contenidos a un precio reducido o de forma
en un 3,8 del PIB de la Unión Europea y, a nivel gratuita. En otras palabras, los ingresos derivados
nacional, representaba ya en el año 2018 el 7%, de la publicidad online hacen posible el gran valor
aportando 81.600 millones de euros al PIB espa- que los consumidores obtienen de los servicios
ñol de forma directa1. online que utilizan. Este excedente es de cerca de
40 euros al mes por hogar, más de lo que la familia
Gran parte de la inversión en Internet se hace paga por el acceso de banda ancha en el hogar4.
desde el sector de la publicidad online. Un estu-
dio de la compañía independiente de investiga- Debemos tener en cuenta también que la publi-
ción financiera IHS Markit muestra que la publi- cidad tiene un efecto multiplicador en toda la
cidad digital contribuye a 526 mil millones del economía a través empleos directos e indirectos,
PIB anual de la UE2 . Como es sabido, una de las aumento de ventas, etc.
formas en que la publicidad en Internet se lleva
a cabo es a través de las cookies. Las cookies son Según el estudio The economic contribution of
herramientas que tienen un papel esencial para advertising in Europe5, elaborado por Deloitte,
la prestación de numerosos servicios de la socie- en el terreno laboral también supone un dato
dad de la información que concentran la mayor ventajoso para la economía europea, ya que en la
inversión publicitaria, facilitan la navegación del UE existen 5.762.573 puestos de trabajo respal-
usuario y ofrecen una publicidad basada en oca- dados por publicidad, lo que supone un 2,6% del
siones en los hábitos de navegación. empleo en la UE (teniendo en cuenta empleos di-
rectamente impactados por publicidad y trabajos
La importancia de la publicidad digital se refle- compatibles a la cadena de actividad).
ja en cifras de inversión, que creció un 10,6%
respecto al año pasado (2021-2022). Desde 2019 Al mismo tiempo, debe tenerse presente que la
la inversión en Internet se ha consolidado, por utilización de los dispositivos de almacenamien-
encima de la televisión, en la primera posición de to y recuperación de datos en los equipos termi-
inversión publicitaria. Con una inversión total en nales de los usuarios tiene implicaciones impor-
2022 de 4.533 millones de euros, supone un 60% tantes en relación con su privacidad. La cookie es
de toda la inversión realizada en medios3. uno de esos dispositivos de uso generalizado, por
1
Informe anual del sector TIC y de los contenidos en España 2018, disponible en: https://www.ontsi.red.es/ontsi/sites/
ontsi/files/InformeAnualSectorTICC2018_0.pdf.
2
The Economic Contributions of Digital Advertising, disponible en: https://datadrivenadvertising.eu/wp-content/
uploads/2017/09/DigitalAdvertisingEconomicContribution_FINAL-1.pdf.
3
Estudio de Inversión Publicitaria en Medios Digitales, disponible en: https://iabspain.es/estudio/estudio-de-inversion-
publicitaria-en-medios-digitales-2023.
4
White paper “Consumers driving the digital uptake. The economic value of online advertising-based services for
consumers”. Estudio de McKinsey & Company para IAB Europe (2010).
5
Disponible en: http://www.iabeurope.eu/wp-content/uploads/2017/01/Value-of-Advertising_Economic-Contribution-
of-Advertising-in-Europe.pdf.
5 Introducción
Guía de cookies
Y es que, mediante la utilización de cookies, los son conscientes del uso de sus datos y las finali-
prestadores de servicios obtienen datos rela- dades para las que son utilizados.
cionados con los usuarios que posteriormente
podrán ser utilizados para la prestación de los A la hora de determinar el nivel de detalle en la
servicios concretos, para servir publicidad o información que se debe proporcionar sobre las
como base para el desarrollo de mejoras o nue- cookies, así como la forma en la que debe obte-
vos productos y servicios en ocasiones gratui- nerse el consentimiento para su utilización, debe
tos. Esta circunstancia determina la necesidad tenerse una referencia clara acerca del nivel de
de implantar un sistema en el que el usuario comprensión de los usuarios en relación con las
sea plenamente consciente de la utilización mismas. En este sentido, y si bien el conocimiento
de aquellos dispositivos y de la finalidad de su general de internet está cada vez más extendido y
utilización, siendo en definitiva conocedores del el consumidor medio cada vez tiene mayor cono-
destino de los datos que estén siendo utilizados cimiento técnico sobre el funcionamiento de las
y las incidencias que este sistema implica en su cookies y las opciones disponibles para su gestión,
privacidad. Por ello, la regulación comunitaria y todavía se requiere un nivel superior de informa-
nacional requiere para la utilización de determi- ción cuando esta se dirige a aquellos usuarios
nados datos, la obtención de un consentimiento que tienen un conocimiento técnico más bajo o
informado con el fin de asegurar que los usuarios utilizan Internet con menos regularidad.
6
El Grupo de Trabajo del Artículo 29 era el órgano consultivo independiente de la UE sobre protección de los datos y la
vida privada, creado en virtud de lo previsto en el citado artículo de la Directiva 95/46/CE.
6
Guía de cookies
7
En particular, es necesario ser conscientes de la existencia de una propuesta de Reglamento sobre el respeto de la
vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se
deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas), que regulará la
protección de la información almacenada en los equipos terminales de los usuarios finales y relativa a dichos equipos.
No obstante, en el presente momento se trata simplemente de una propuesta de disposición cuyo contenido final no
puede aún ser conocido, por lo que hasta entonces habrá de estar a las normas actualmente vigentes.
7 Introducción
Guía de cookies
1.
ALCANCE DE
LAS NORMAS
El apartado segundo del artículo 22 de la LSSI En particular, conviene precisar que, de con-
establece: formidad con el precepto transcrito, el mismo
aplica a cualesquiera “dispositivos de almace-
“Los prestadores de servicios podrán utilizar namiento y recuperación de datos” en cuales-
dispositivos de almacenamiento y recuperación quiera “equipos terminales de los destinatarios”
de datos en equipos terminales de los destinata- y que el anexo de la citada LSSI define como
rios, a condición de que los mismos hayan dado “Destinatario del servicio o destinatario” a la
su consentimiento después de que se les haya “persona física o jurídica que utiliza, sea o no
facilitado información clara y completa sobre su por motivos profesionales, un servicio de la
utilización, en particular, sobre los fines del tra- sociedad de la información”.
tamiento de los datos, con arreglo a lo dispuesto
en la Ley Orgánica 15/1999, de 13 de diciembre, Así pues, el artículo 22 de la LSSI y la presente
de Protección de Datos de Carácter Personal. guía se refieren a la utilización de cookies y
Cuando sea técnicamente posible y eficaz, el tecnologías similares utilizadas (tales como
consentimiento del destinatario para aceptar local shared objects o flash cookies8 , web bea-
el tratamiento de los datos podrá facilitarse cons o bugs9 , etc.) para almacenar y recuperar
mediante el uso de los parámetros adecuados datos de un equipo terminal (por ejemplo, un
del navegador o de otras aplicaciones. ordenador, un teléfono móvil o una tablet) de
Lo anterior no impedirá el posible almacena- una persona física o jurídica que utiliza, sea o
miento o acceso de índole técnica al solo fin de no por motivos profesionales, un servicio de la
efectuar la transmisión de una comunicación sociedad de la información. La citada norma
por una red de comunicaciones electrónicas o, también resulta de aplicación al empleo de téc-
en la medida que resulte estrictamente necesa- nicas de fingerprinting, es decir, a las técnicas
rio, para la prestación de un servicio de la socie- de toma de la huella digital del dispositivo.
dad de la información expresamente solicitado
por el destinatario”. Esta guía contiene algunas orientaciones prácti-
cas sobre cómo debe proporcionarse la informa-
En consecuencia, las orientaciones de esta guía ción para cumplir el requisito del consentimien-
serán de utilidad a aquellos supuestos a los to informado, ya que el citado artículo 22.2 de
que resulte aplicable el apartado segundo del la LSSI vincula la obtención del consentimiento
artículo 22 de la LSSI de conformidad con lo a la información que se facilite al usuario, de
establecido en el Capítulo II de la propia LSSI modo que el consentimiento que, en su caso,
que lleva por título “Ámbito de aplicación”. preste el usuario sea informado. Este artículo
22.2 se remite a la Ley Orgánica 15/1999, de 13
de diciembre, de protección de datos de carác-
8
Local shared objects o flash cookies: son un tipo de cookies que pueden almacenar mucha más información que las
cookies tradicionales. Al ser independientes del navegador utilizado son más difíciles de localizar, visualizar o borrar y
pueden utilizarse, por ejemplo, para regenerar cookies estándar.
9
Web beacons o bugs: son imágenes, inapreciables a la vista por su tamaño y color, que se descargan al visitar un
sitio web pero que están almacenadas en un segundo sitio y que permiten al titular de ese segundo sitio registrar la
visita del usuario mediante la información que el navegador de éste proporciona al descargar la imagen (dirección IP,
sistema operativo, versión de navegador, etc.).
ter personal, en lo relativo a los requisitos del “Las personas físicas pueden ser asociadas
consentimiento informado, si bien en la actuali- a identificadores en línea facilitados por sus
dad esta remisión se ha de interpretar hecha al dispositivos, aplicaciones, herramientas y pro-
RGPD, aplicable desde el 25 de mayo de 2018, y tocolos, como direcciones de los protocolos de
a la LOPDGDD, aplicable desde el 7 de diciembre internet, identificadores de sesión en forma de
de 2018. De hecho, son estos recientes cam- «cookies» u otros identificadores, como etique-
bios normativos los que motivaron, en 2019, la tas de identificación por radiofrecuencia. Esto
revisión y actualización de esta guía, que volvió puede dejar huellas que, en particular, al ser
a actualizarse y revisarse tras las aclaraciones combinadas con identificadores únicos y otros
realizadas por el CEPD, sobre la condicionalidad datos recibidos por los servidores, pueden ser
del consentimiento y el consentimiento inequí- utilizadas para elaborar perfiles de las personas
voco, en sus Directrices 05/2020 sobre el consen- físicas e identificarlas”.
timiento con arreglo al Reglamento 2016/679,
adoptadas el 4 de mayo de 2020, que revisan y Por ello, cuando la utilización de una cookie
actualizan las aprobadas por el GT29 el 10 de conlleve el tratamiento de datos personales,
abril de 2018. En la actualización más reciente los responsables de tal tratamiento deberán
de este documento se ha tenido asimismo en asegurarse del cumplimiento de las exigencias
cuenta el informe adoptado por el grupo de adicionales establecidas por la normativa so-
trabajo creado en el seno del CEPD para analizar bre protección de datos personales, en particu-
los banners de cookies10. lar en relación con las categorías especiales de
datos. Se considerará que existe tratamiento de
En este sentido, el propio RGPD, en su consi- datos personales cuando el usuario esté identi-
derando 30, menciona estas tecnologías y su ficado por un nombre o dirección de email que
impacto en la protección de datos: lo identifique (por ejemplo, por tratarse de un
usuario registrado) o cuando se utilicen identi-
ficadores únicos que permitan distinguir unos
usuarios de otros y realizar un seguimiento
individualizado de los mismos (por ejemplo, un
ID de publicidad).
banner-taskforce_es.
en el artículo 22.2 de la LSSI las cookies utiliza- que no queden fuera del ámbito de aplicación del
das para alguna de las siguientes finalidades: artículo 22.2 de la LSSI y sobre las que serán útiles
las orientaciones de esta guía.
◤ Permitir únicamente la comunicación entre el
equipo del usuario y la red. Dicho esto, por razones de transparencia se re-
comienda informar, al menos con carácter gené-
◤ Estrictamente prestar un servicio expresa- rico, de aquellas cookies excluidas del ámbito de
mente solicitado por el usuario. aplicación del artículo 22.2 de la LSSI, ya sea en la
política de cookies o en la propia política de priva-
cidad (ejemplo: “Este sitio web utiliza cookies que
En este sentido, el GT29, en su Dictamen 4/201211,
permiten el funcionamiento y la prestación de los
interpretó que entre las cookies exceptuadas esta-
servicios ofrecidos en el mismo”).
rían aquellas que tienen por finalidad:
◤ Cookies de “entrada del usuario”12. En todo caso, deberá tenerse en cuenta que una
misma cookie puede tener más de una finalidad
◤ Cookies de autenticación o identificación de (cookies polivalentes), por lo que existe la posi-
usuario (únicamente de sesión). bilidad de que una cookie quede exceptuada del
ámbito de aplicación del artículo 22.2 de la LSSI
para una o varias de sus finalidades y no para
◤ Cookies de seguridad del usuario13.
otras, quedando estas últimas sujetas al ámbito
de aplicación de dicho precepto. Esto debería,
◤ Cookies de sesión de reproductor multimedia. dicho con palabras del GT29, “incitar a los propie-
tarios de sitios web a utilizar una cookie diferente
◤ Cookies de sesión para equilibrar la carga. para cada finalidad”15.
en.pdf.
12
Las cookies de sesión y de entrada de usuario se suelen utilizar para rastrear las acciones del usuario al rellenar los
formularios en línea en varias páginas, o como cesta de la compra para hacer el seguimiento de los artículos que el
usuario ha seleccionado al pulsar un botón.
13
Por ejemplo, las cookies utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web.
14
La excepción sólo se aplica para usuarios que han decidido mantener la sesión abierta.
15
Dictamen 4/2012 sobre la exención del requisito de consentimiento de cookies.
2.
TERMINOLOGÍA Y
DEFINICIONES
A los efectos de la presente guía resulta útil defi- b) Cookies de tercero: son aquellas de las que
nir previamente una serie de conceptos. es responsable una entidad distinta del editor
y que, generalmente, se envían al equipo ter-
2.1.1. Tipos de cookies según la a) Cookies técnicas: son aquellas que permi-
entidad que las gestione ten al usuario la navegación a través de una
página web, plataforma o aplicación y la uti-
Según quién sea la entidad que gestione el lización de las diferentes opciones o servicios
equipo o dominio desde donde se envían las que en ella existan, incluyendo aquellas que el
cookies y trate los datos que se obtengan, po- editor utiliza para permitir la gestión y opera-
demos distinguir: tiva de la página web y habilitar sus funciones
y servicios, como, por ejemplo, controlar el
a) Cookies propias: son aquellas de las que tráfico y la comunicación de datos, identificar
es responsable el propio editor y que, general- la sesión, acceder a partes de acceso restrin-
mente, se envían al equipo terminal del usua- gido, recordar los elementos que integran un
rio desde un equipo o dominio gestionado por pedido, realizar el proceso de compra de un
el propio editor y desde el que se presta el ser- pedido, gestionar el pago, controlar el fraude
vicio solicitado por el usuario. vinculado a la seguridad del servicio, realizar
la solicitud de inscripción o participación en
un evento, contar visitas a efectos de la fac-
turación de licencias del software con el que
11 Terminología y definiciones
Guía de cookies
funciona el servicio (sitio web, plataforma o y el contenido para mejorar la legibilidad), las
aplicación), utilizar elementos de seguridad cookies estarán exceptuadas de las obligacio-
durante la navegación, almacenar contenidos nes del artículo 22.2 de la LSSI por considerar-
para la difusión de vídeos o sonido, habilitar se un servicio expresamente solicitado por el
contenidos dinámicos (por ejemplo, anima- usuario, y ello siempre y cuando las cookies
ción de carga de un texto o imagen) o compar- obedezcan exclusivamente a la finalidad se-
tir contenidos a través de redes sociales. leccionada. Estas cookies de preferencias que
afectan a la interfaz de usuario no necesaria-
También pertenecen a esta categoría, por su mente tendrán que ser de sesión, ya que soli-
naturaleza técnica, aquellas cookies que permi- citar que el usuario determine sus preferencias
ten la gestión, de la forma más eficaz posible, a estos efectos cada vez que se visita un sitio
de los espacios publicitarios que, como un ele- web o se accede a una aplicación puede re-
mento más de diseño o “maquetación” del ser- sultar molesto y provocarle fatiga. Ahora bien,
vicio ofrecido al usuario, el editor haya incluido para que estas cookies se consideren exentas,
en una página web, aplicación o plataforma en su uso deberá limitarse al necesario para su
base a criterios como el contenido editado, sin propósito, y la información que pueda des-
que se recopile información de los usuarios con prenderse de la selección del usuario no podrá
fines distintos, como puede ser personalizar ese emplearse para otros fines (por ejemplo, para
contenido publicitario u otros contenidos. la personalización de contenidos publicitarios)
ni para elaborar un perfil del usuario.
Las cookies técnicas estarán exceptuadas del
cumplimiento de las obligaciones establecidas c) Cookies de análisis o medición: son aque-
en el artículo 22.2 de la LSSI cuando permitan llas que permiten al responsable de las mismas
prestar el servicio solicitado por el usuario, el seguimiento y análisis del comportamiento
como ocurre en el caso de las cookies enume- de los usuarios de los sitios web a los que es-
radas en los párrafos anteriores. Sin embargo, tán vinculadas, incluida la cuantificación de los
si estas cookies se utilizan también para finali- impactos de los anuncios. La información re-
dades no exentas (por ejemplo, para fines pu- cogida mediante este tipo de cookies se utiliza
blicitarios comportamentales), quedarán suje- en la medición de la actividad de los sitios web,
tas a dichas obligaciones. aplicación o plataforma, con el fin de introducir
mejoras en función del análisis de los datos de
b) Cookies de preferencias o personalización: uso que hacen los usuarios del servicio.
son aquellas que permiten recordar informa-
ción para que el usuario acceda al servicio con Respecto al tratamiento de datos recabados a
determinadas características que pueden dife- través de las cookies de análisis, el GT29 ma-
renciar su experiencia de la de otros usuarios, nifestó que, a pesar de que no están exentas
como, por ejemplo, el idioma, el número de del deber de obtener un consentimiento infor-
resultados a mostrar cuando el usuario realiza mado para su uso, es poco probable que re-
una búsqueda, el aspecto o contenido del ser- presenten un riesgo para la privacidad de los
vicio en función del tipo de navegador a través usuarios siempre que se trate de cookies de
del cual el usuario accede al servicio o de la re- primera parte, que traten datos agregados con
gión desde la que accede al servicio, etc. una finalidad estrictamente estadística, que se
facilite información sobre sus usos y se incluya
Si es el propio usuario quien elige esas carac- la posibilidad de que los usuarios manifiesten
terísticas (por ejemplo, si selecciona el idioma su negativa sobre su utilización.
de un sitio web clicando en el icono de la ban-
dera del país correspondiente, la moneda que d) Cookies de publicidad comportamental:
desea utilizar en las transacciones, el tamaño son aquellas que almacenan información del
de fuente o el contraste de color entre el fondo comportamiento de los usuarios obtenida a
12 Terminología y definiciones
Guía de cookies
través de la observación continuada de sus A estos efectos, el Dictamen 4/2012 del GT29
hábitos de navegación, lo que permite desa- indicó que para que una cookie pueda estar
rrollar un perfil específico para mostrar publi- exenta del deber de consentimiento informa-
cidad en función del mismo. do, su caducidad debe estar relacionada con
su finalidad. Debido a ello, es mucho más pro-
En todo caso, debe tenerse en cuenta que es- bable que se consideren como exceptuadas las
tas tipologías se ofrecen a título orientativo cookies de sesión que las persistentes.
por ser las más habituales. Los editores y los
2.2 DATO
terceros podrán realizar las categorizaciones
que consideren que mejor se ajustan a las fi-
nalidades de las cookies que utilizan, de forma
que se respete el principio de transparencia Es la información que se obtiene por medio del
frente a los usuarios. equipo terminal del usuario a través del dispo-
sitivo de almacenamiento y recuperación de
datos (cookies u otros).
2.1.3. Tipos de cookies según el
plazo de tiempo que permanecen El dato será personal cuando se trata de infor-
activadas mación sobre personas físicas identificadas o
identificables, en los términos que establece el
Según el plazo de tiempo que permanecen artículo 4 del RGPD.
activadas en el equipo terminal podemos dis-
13 Terminología y definiciones
Guía de cookies
Banner: es un anuncio con forma de rectángulo horizontal ubicado en la parte superior de las páginas web y que
16
14 Terminología y definiciones
Guía de cookies
3.
OBLIGACIONES 3.1.1. Qué información debe
facilitarse
Las obligaciones legales impuestas por la nor-
El apartado segundo del artículo 22 de la LSSI
mativa son dos, a saber: la obligación de trans-
establece que se debe facilitar a los usuarios
parencia y la obligación de obtención del con-
información clara y completa sobre la utiliza-
sentimiento.
ción de los dispositivos de almacenamiento y
recuperación de datos y, en particular, sobre los
Con carácter previo al estudio por parte de las
fines del tratamiento de los datos. Esta informa-
entidades intervinientes de las soluciones más
ción debe facilitarse, como se ha indicado, con
apropiadas para dar cumplimiento a las citadas
arreglo a lo dispuesto el RGPD, que requiere que
obligaciones (de acuerdo con la naturaleza de
el tratamiento de los datos de los usuarios se
su actividad, el modelo de negocio que desa-
realice de forma transparente para ellos.
rrollan y el alcance de su responsabilidad), se
recomienda a las mismas llevar a cabo una re-
Por consiguiente, la información sobre las coo-
visión de las cookies que se utilizan, bien inter-
kies facilitada en el momento de solicitar el
namente, bien con el asesoramiento de asocia-
consentimiento debe ser suficientemente com-
ciones o entidades especializadas. Esta revisión
pleta para permitir a los usuarios entender sus
tendrá como objetivo identificar las cookies que
finalidades y el uso que se les dará.
se están utilizando, analizando si son cookies
propias o de terceros, de sesión o persistentes,
En la política de cookies deberá incluirse la si-
y concretando su función para poder decidir si
guiente información22 :
las mismas se encuentran o no en el ámbito de
aplicación del artículo 22.2.
a) Definición y función genérica de las
cookies.
Teniendo en cuenta los posibles cambios que se
pueden producir en la gestión y uso de las coo-
kies, es recomendable realizar periódicamente
esta revisión a fin de actualizar la información EJEMPLO:
disponible sobre estas. ¿Qué son las cookies?
Este sitio web utiliza cookies y/o tecnolo-
En todo caso, se recuerda la conveniencia de gías similares que almacenan y recuperan
que las soluciones que se implementen para dar información cuando navegas. En general,
cumplimiento a las obligaciones del art. 22.2 de estas tecnologías pueden servir para fina-
la LSSI deben ser tecnológicamente neutrales y lidades muy diversas, como, por ejemplo,
que, por tanto, deben ser soluciones que la ma- reconocerte como usuario, obtener infor-
yoría de navegadores reconozcan. mación sobre tus hábitos de navegación,
o personalizar la forma en que se muestra
el contenido. Los usos concretos que ha-
3.1 TRANSPARENCIA cemos de estas tecnologías se describen
a continuación.
22
Si la información se facilita por capas, esta información se incluirá en la segunda capa, mientras que la primera capa
recogerá la información básica que se indica en el apartado 3.1.2.2.
15 Obligaciones
Guía de cookies
b) Información sobre el tipo de cookies que que ofrece sobre sus cookies) sea directamente
se utilizan y su finalidad. visible en la política de cookies, sino que po-
drán utilizarse mecanismos como botones que
desplieguen esa información más específica o
EJEMPLO: texto emergente que aparezca al pasar el pun-
¿Qué tipos de cookies se utilizan en tero del ratón por encima, y ello siempre que el
esta página web? usuario pueda acceder fácilmente a la informa-
• Cookies de análisis: son aquellas que, ción si así lo desea.
tratadas por nosotros o por terceros, nos
permiten cuantificar el número de usua-
rios y así realizar la medición y análisis EJEMPLO:
estadístico de la utilización que hacen los Cookies de terceros
usuarios del servicio ofertado. Para ello Cookies de análisis: permiten cuantifi-
se analiza su navegación en nuestra pági- car el número de usuarios y así realizar la
na web con el fin de mejorar la oferta de medición y análisis estadístico de la utili-
productos o servicios que le ofrecemos. zación que hacen los usuarios del servicio
ofertado. Para ello se analiza su navega-
• Cookies publicitarias comportamen- ción en nuestra página web con el fin de
tales: son aquellas que, tratadas por no- mejorar la oferta de productos o servicios
sotros o por terceros, nos permiten anali- que le ofrecemos. + Conoce a los terceros.
zar sus hábitos de navegación en Internet
para que podamos mostrarle publicidad
relacionada con su perfil de navegación.
d) Información sobre la forma de aceptar,
denegar o revocar el consentimiento para el
En el caso de que no fuera posible para el edi- uso de cookies enunciadas a través de las fun-
tor ofrecer una explicación suficiente sobre la cionalidades facilitadas por el editor (el sistema
finalidad de las cookies utilizadas por terceros de gestión o configuración de cookies que se
o la forma de eliminarlas, puede facilitar esta haya habilitado) o a través de las plataformas co-
información incluyendo un enlace a la página munes que pudieran existir para esta finalidad.
web del tercero. Las plataformas de gestión del
consentimiento (consent magement platform Si el sistema de gestión o configuración de las
o CMP) que cumplan los requisitos y garantías cookies del editor no permite evitar la utiliza-
que se indican en el apartado v.d) del Anexo ción de las cookies de terceros una vez acep-
pueden ser una solución. tadas por el usuario, se facilitará información
sobre las herramientas proporcionadas por el
c) Identificación de quién utiliza las cookies, navegador y los terceros y se deberá advertir
esto es, si la información obtenida por las coo- que, si el usuario acepta cookies de terceros y
kies es tratada solo por el editor y/o también posteriormente desea eliminarlas, deberá ha-
por terceros con los que editor haya contratado cerlo desde su propio navegador o el sistema
la prestación de un servicio para el cual se re- habilitado por los terceros para ello. A estos
quiera el uso de cookies, con identificación de efectos, y sin perjuicio de tener que disponer
estos últimos. del correspondiente sistema de gestión o confi-
guración de cookies según se indica en el párra-
En línea con el requisito de concisión que esta- fo anterior, se podrá facilitar adicionalmente la
blece el RGPD, no será necesario que la infor- siguiente información: “Tenga en cuenta que, si
mación concreta sobre los terceros (es decir, su acepta las cookies de terceros, deberá eliminar-
nombre o marca con la que el público pueda co- las desde las opciones del navegador o desde el
nocerlos y, en su caso, el enlace a la información sistema ofrecido por el propio tercero”.
16 Obligaciones
Guía de cookies
e) En su caso, información sobre las transfe- g) Periodo de conservación de los datos para
rencias de datos a terceros países realizadas los diferentes fines en los términos estableci-
por el editor. dos en el artículo 13.2 a) del RGPD.
La opinión del GT29 sobre este punto, refren-
dada por el CEPD, es que debe especificarse el h) En relación con el resto de información
artículo del RGPD que permite la transferencia, exigida por el artículo 13 del RGPD que no se re-
identificar a los terceros países y proporcionar fiera de forma específica a las cookies (por ejem-
información sobre dónde y cómo se puede ac- plo, los derechos de los interesados), el editor
ceder a la decisión de adecuación o a las ga- podrá remitirse a la política de privacidad.
rantías adecuadas o apropiadas, incluidas las
23
No obstante, en las directrices del GT29 sobre decisiones individuales automatizadas y elaboración de perfiles,
adoptadas el 3 de octubre de 2017, y revisadas por última vez y adoptadas el 6 de febrero de 2018, se reconoce que,
por ejemplo, la publicidad comportamental no entra generalmente en el ámbito del artículo 22.2 del RGPD, ya que “[e]
n muchos casos típicos, la decisión de presentar publicidad dirigida basada en la elaboración de perfiles no tendrá un
efecto significativamente similar en las personas”.
17 Obligaciones
Guía de cookies
mensaje.
No serían válidas, por ejemplo, frases como
“usamos cookies para personalizar su conteni-
do y crear una mejor experiencia para usted”
o “para mejorar su navegación”, o frases como
“podemos utilizar sus datos personales para
ofrecer servicios personalizados” para referir-
se a cookies publicitarias comportamentales.
También deben evitarse términos como “pue-
de”, “podría”, “algún”, “a menudo”, y “posible”.
18 Obligaciones
Guía de cookies
19 Obligaciones
Guía de cookies
c) Información sobre si las cookies son pro- b) Un botón o mecanismo equivalente, si-
pias (del responsable de la página web) o milar al anterior (si se utiliza un botón para
también de terceros asociados a él, sin que aceptar, deberá utilizarse un botón para re-
sea necesario identificar a los terceros en chazar), con las palabras “Rechazar cookies”,
esta primera capa. “Rechazar” o textos similares, para rechazar
el uso de cookies (salvo aquellas que estén
exentas de la obligación de obtener un con-
d) Información genérica sobre el tipo de da- sentimiento informado).
tos que se van a recopilar y utilizar en caso de
que se elaboren perfiles de los usuarios (por
c) Un botón o mecanismo equivalente, cla-
ejemplo, cuando se utilicen cookies de publi-
ramente visible, pero no necesariamente si-
cidad comportamental).
milar a los anteriores, que despliegue o lleve
a un panel de configuración que permita
e) Modo en el que el usuario puede aceptar, aceptar o rechazar las cookies de forma gra-
configurar y rechazar la utilización de cookies. nular, al menos en función de su finalidad.
Como buena práctica, este panel de configu-
ración no debería incluirse en aquellos ca-
f) Un enlace claramente visible dirigido a una sos en los que solo se utilicen cookies para
segunda capa informativa en la que se inclu- una finalidad y, por lo tanto, el usuario solo
ya una información más detallada, utilizan- pueda elegir entre aceptar o rechazar las
do, por ejemplo, el término “Cookies”, “Po- cookies correspondientes a esa finalidad. No
lítica de cookies” o “Más información, pulsa obstante, dado que las cookies que se utili-
aquí”. El panel de configuración de cookies zan pueden variar con el tiempo (por ejem-
podrá estar integrado en esta segunda capa, plo, inicialmente podrían estar utilizándose
siempre que, al facilitar acceso al mismo (por únicamente cookies para fines de análisis,
ejemplo, desde un botón o enlace incluido pero luego utilizarse también para fines de
en la primera capa), ese acceso sea directo, personalización, y después volver a utilizar-
esto es, que el usuario no tenga que navegar se únicamente cookies de análisis), el panel
dentro de esta segunda capa para localizar el de configuración y el mecanismo de acceso
panel de configuración. al mismo podrán mantenerse incluso cuan-
do no sean estrictamente necesarios, para
así evitar cambios recurrentes en el aviso de
Esta información se facilitará antes del uso
cookies y los costes que ello puede conllevar.
de las cookies, incluida, en su caso, su insta-
lación, a través de un formato que sea visible
para el usuario y que deberá mantenerse hasta
que el usuario realice la acción requerida para
la obtención del consentimiento o su rechazo.
20 Obligaciones
Guía de cookies
24
En estos y próximos ejemplos de aviso de cookies se presupone que los datos identificativos completos del editor
figuran en otras secciones del sitio web y que su identidad se desprende de forma evidente del propio sitio. Si no fuera,
así debería identificarse al editor en esta primera capa en los términos indicados más arriba en este mismo apartado.
21 Obligaciones
Guía de cookies
texto “Guardar selección”, “Guardar configura- ◤ Debe evitarse el grado máximo de granu-
ción” o textos similares. laridad (selección cookie a cookie, incluso
dentro de la misma finalidad), ya que el
Para facilitar la selección, en el panel podrán exceso de información dificulta la toma de
además implementarse dos botones, uno para decisiones.
seleccionar todas las categorías de cookies
y otro para rechazarlas todas si el usuario las En la segunda capa, que debe encontrarse dis-
ha seleccionado previamente, siendo esta op- ponible de forma permanente en el sitio web o
ción recomendable cuanto mayor sea el núme- en la aplicación, se incluiría la información que
ro distinto de categorías en las que se hayan se ha indicado en el apartado 3.1.1.
clasificado las cookies. Si el usuario guarda
su elección sin haber seleccionado ninguna
cookie, equivaldrá al rechazo de todas las coo-
3.1.2.3. Otras formas de mostrar
kies. Debe recordarse que en ningún caso son la información
admisibles las opciones premarcadas a favor Aparte de la posibilidad de informar por capas,
de aceptar cookies para obtener un consenti- existen otras formas comunes de facilitar la in-
miento válido. formación sobre cookies. Por ejemplo:
22 Obligaciones
Guía de cookies
3.2 CONSENTIMIENTO
de un botón del tipo “Aceptar” se conside-
rará información suficiente, sin necesidad de
aclarar que pulsando “Aceptar” se aceptan
3.2.1. El consentimiento como las cookies. En cambio, acciones complejas
base para el cumplimiento de
o menos obvias que el uso de botones de
aceptación o guardado de la configuración
la normativa escogida deberán explicarse al usuario.
El CEPD ha establecido que seguir navegan-
Para la utilización de las cookies no exceptua-
do no es una forma válida de prestar el con-
das será necesario en todo caso obtener el con-
sentimiento. Del mismo modo, la consulta
sentimiento del usuario. Este consentimiento
de la segunda capa informativa si la infor-
podrá obtenerse mediante fórmulas expresas,
mación se presenta por capas, así como la
como haciendo clic en un apartado que indique
navegación necesaria para que el usuario
“consiento”, “acepto”, u otros términos simila-
gestione sus preferencias en relación con las
res. También podrá obtenerse infiriéndolo de
cookies no es una conducta activa de la que
una inequívoca acción realizada por el usuario,
pueda derivarse la aceptación de cookies.
en un contexto en que a éste se le haya facilita-
do información clara y accesible sobre las finali- ◤ Que el usuario, en todo caso, podrá negarse
dades de las cookies y de si van a ser utilizadas a aceptar las cookies. La opción para
por el mismo editor y/o por terceros, de forma rechazar las cookies deberá ofrecerse en la
que quepa entender que el usuario acepta que misma capa y al mismo nivel que la opción
se instalen cookies. En ningún caso la mera in- para aceptarlas y el mecanismo empleado
actividad del usuario implica la prestación del al efecto (botón u otro) deberá ser similar.
consentimiento por sí misma.
◤ Que la información que se otorgue al
Para que dicho consentimiento sea válido será usuario para que pueda consentir la utiliza-
necesario que el consentimiento haya sido otor- ción de las cookies se encuentre separada
gado de forma libre e informada. Por tanto, es de la información que se le ofrezca sobre
necesario tener en cuenta: otros asuntos.
◤ Que las modalidades de prestación del
◤ Que la aceptación de los términos o condi-
consentimiento pueden ser variadas. La
ciones de uso de la página web o servicio
obtención del consentimiento a través de
se separe de la aceptación de la política de
un clic del usuario o de una conducta similar
privacidad o cookies.
no cabe duda de que facilitará la prueba de
que se ha obtenido. Esta fórmula puede ser
◤ Que, aunque las cookies no suelen utilizarse
la más apropiada para usuarios registrados.
en escenarios en los que el RGPD exige el
consentimiento explícito de los interesados
◤ Que el usuario deberá haber realizado una 25
, cuando este consentimiento explícito sea
clara acción afirmativa.
necesario (artículos 9.2 a), 22.2 c) y 49.1 a)
del RGPD), el consentimiento solo podrá
◤ Que tiene que ser evidente para el usuario
obtenerse mediante botones de acepta-
con qué concreta acción suya acepta la utili-
ción, siempre que incluya una leyenda
zación de las cookies. En este sentido, el uso
específica con el término “consiento” y se
25
Como se ha indicado más arriba, en las directrices del GT29 sobre decisiones individuales automatizadas y
elaboración de perfiles se reconoce que, por ejemplo, la publicidad comportamental generalmente no encaja en el
ámbito del artículo 22.2 del RGPD.
23 Obligaciones
Guía de cookies
facilite información completa sobre las En este sentido, debe indicarse si el consenti-
categorías especiales de datos respecto de miento se presta solo para la página web en la
las que se consienten26, las decisiones indi- que se está solicitando o si se facilita también
viduales automatizadas o las transferencias para otras páginas web del mismo editor o in-
a terceros países, según el caso. cluso para terceros asociados al editor en el
marco de las finalidades de las cookies sobre
las que se ha ofrecido información.
3.2.2. Quién debe prestar el
consentimiento Con independencia de la modalidad de obten-
ción del consentimiento, la opción de rechazar
las cookies deberá ofrecerse al usuario al mis-
De conformidad con el apartado 2 del artículo
mo tiempo, al mismo nivel y con la misma visi-
22 de la LSSI el consentimiento debe ser presta-
bilidad que la de aceptarlas, sin remitirle a otra
do por los “destinatarios” de los servicios de la
capa o lugar diferente para realizar esa acción.
sociedad de la información.
Caben, entre otros, los siguientes mecanismos
De acuerdo con el apartado d) del Anexo de
de obtención del consentimiento:
la LSSI por “Destinatario del servicio o desti-
natario” debe entenderse “la persona física o
a) Al solicitar el alta en un servicio
jurídica que utiliza, sea o no por motivos profe-
Es posible solicitar el consentimiento para el
sionales, un servicio de la sociedad de la infor-
uso de cookies cuando el usuario solicita el alta
mación”. Y conforme a las definiciones realiza-
en un servicio, siempre que este consentimien-
das en el apartado correspondiente, el término
to esté separado y no se agrupe con la acepta-
destinatario coincide con el de usuario, que es
ción de los términos y condiciones de uso de la
el utilizado en la presente guía.
página web, de su política de privacidad o de
las condiciones generales del servicio.
Por ello, la información debe dirigirse directa-
mente al usuario para que pueda expresar su
b) Durante el proceso de configuración
consentimiento o su rechazo.
del funcionamiento de la página web o
aplicación.
3.2.3. Modalidades de obtención Muchas páginas web y aplicaciones móviles
del consentimiento permiten al usuario configurar el servicio, pu-
diendo este configurar características como el
idioma, el tipo de letra, el color de fondo de
La determinación de qué método será apropia-
pantalla, etc. Por las características concretas
do para obtener el consentimiento para usar
de las aplicaciones, estas además suelen pre-
cookies dependerá del tipo de cookies que se
guntar al usuario si pueden acceder a informa-
van a utilizar, de su finalidad y de si son propias
ción de su terminal (como agenda, para sugerir
o de terceros. Un aspecto a tener en cuenta es si
amigos o álbum de fotos).
la relación con el usuario la tiene el editor o los
terceros.
26
Sobre este particular debe tenerse en cuenta que el artículo 26.3 del Reglamento de Servicios Digitales (Reglamento
UE 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de
servicios digitales y por el que se modifica la Directiva 2000/31/CE) prohíbe que los prestadores de plataformas en
línea presenten a los destinatarios del servicio “anuncios basados en la elaboración de perfiles, tal como se define en
el artículo 4, punto 4, del Reglamento (UE) 2016/679, utilizando las categorías especiales de datos personales a que se
refiere el artículo 9, apartado 1, del Reglamento (UE) 2016/679”. Esta norma se aplicará, de forma general, a partir del
17 de febrero de 2024.
24 Obligaciones
Guía de cookies
Así, la prestación del consentimiento para la e) A través del formato de información por
utilización de las cookies puede configurarse capas.
durante el proceso de elección o especifica- En el formato de información por capas que
ción por parte del usuario de las característi- antes indicábamos, la primera capa, que con-
cas, quedando el consentimiento integrado en tiene la información esencial, debe incluir
la elección del usuario y recordando los ajus- también la petición del consentimiento para la
tes elegidos por este. utilización de las cookies.
En tales casos, si las cookies que se preten- La información que se ofrezca en esta primera
den utilizar no son necesarias para el funcio- capa se podrá mostrar a través de un formato
namiento del servicio o de la aplicación, se que sea visible para el usuario, como por ejem-
debe permitir a los usuarios dar su consenti- plo un banner, una barra o a través de técnicas
miento antes de la descarga del servicio o de o dispositivos similares, teniendo en cuenta
la aplicación. Ha de recordarse que en el caso que la localización en la parte superior de la
de que una página web ofrezca contenidos página normalmente capta mejor la atención
audiovisuales, estos son parte del servicio ex- de los usuarios.
presamente solicitado por el usuario, estando
por tanto exceptuado del deber de requerir tal En los terminales de pantalla reducida se po-
consentimiento para mostrar tal contenido. drá adecuar el tamaño y el contenido de pri-
mera capa a las dimensiones de la misma.
Si el usuario desea ejercer un derecho que le
está legalmente reconocido (por ejemplo, la f) A través de la configuración del
baja en un servicio telefónico, de acceso a In- navegador.
ternet o de otro tipo) y la aplicación o servicio Tanto la Directiva sobre privacidad como la
es el único medio facilitado al usuario para LSSI sugieren que la configuración del nave-
ejercitar tal derecho, no podrá condicionarse gador podría ser una de las formas de obtener
el acceso a la aplicación o servicio a la acepta- el consentimiento. Para que esta opción sea
ción de las cookies no necesarias. válida, la configuración del navegador debe-
ría poder utilizarse de forma que permita que
los usuarios manifiesten su conformidad con
la utilización de las cookies según lo dispues-
to en el RGPD y teniendo en cuenta lo dicta-
25 Obligaciones
Guía de cookies
minado por el CEPD, en sus directrices sobre circunstancias del tratamiento. Así, entre otros
el consentimiento, esto es, el consentimiento factores, a la hora de establecer medidas para
debería ser separado para cada uno de los fi- verificar que el consentimiento fue dado o au-
nes previstos y la información que se facilita torizado por el titular de la patria potestad o
debería identificar a los responsables del tra- tutela, deberá considerarse el nivel de riesgo
tamiento. A efectos de esta identificación, no asociado a la utilización de las cookies (por
será necesaria la denominación social comple- ejemplo, teniendo en cuenta la naturaleza de
ta, sino que será suficiente incluir la marca o los datos que se recopilan) y atenderse espe-
nombre con el que el responsable se identifi- cialmente al principio de minimización de da-
que de cara al público. tos27 . A menor riesgo, más sencillo podrá ser el
sistema de verificación implementado.
En dichos términos, la configuración del nave-
gador sería una opción válida para obtener el Por ejemplo, tratándose de usuarios no regis-
consentimiento, pero no serviría como meca- trados de un sitio web dirigido a menores, si
nismo único para que el usuario pueda dene- sus datos de dispositivo y de navegación se uti-
gar o revocar el consentimiento para el uso de lizan únicamente con fines analíticos, el con-
cookies. El editor debe ofrecer al usuario, en sentimiento del titular de la patria potestad
todo caso, una fórmula para que pueda dene- o tutela podría obtenerse previa advertencia
gar o revocar el consentimiento prestado para o llamada dirigida al menor indicándole en la
el uso de cookies, a través de su propia página primera capa informativa que, si tiene menos
web o, en su caso, facilitar información sobre de 14 años, antes de seguir navegando, avise a
las herramientas proporcionadas, para la reti- su padre, madre o tutor para que acepte o re-
rada del consentimiento, por los terceros que chace las cookies, evitando, por tanto, solicitar
utilizan las cookies, para que el usuario pueda datos adicionales del menor o del titular de la
ejercer su derecho a retirar el consentimiento patria potestad o tutela.
tan fácilmente como lo otorgó.
27
En las directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, el CEPD lo expresa en los
siguientes términos: “el Comité Europeo de Protección de Datos recomienda la adopción de un enfoque proporcionado,
en consonancia con el artículo 8, apartado 2, y el artículo 5, apartado 1, letra c), del RGPD (minimización de datos). Un
enfoque proporcionado puede ser centrarse en obtener una cantidad limitada de información”.
26 Obligaciones
Guía de cookies
EJEMPLO 1: EJEMPLO 2:
Si tienes menos de 14 años, pide a Llama a tu padre, madre o tutor para
tu padre, madre o tutor que lea que lea este mensaje y ponga en qué año
este mensaje. nació: [CAMPO PARA INCLUIR EL AÑO]
Utilizamos cookies propias y de terceros (este dato no se almacenará, se utilizará
para saber cómo utilizas nuestro sitio web solo para comprobar el consentimiento)
y hacer estadísticas. Más información. Utilizamos cookies propias y de terceros
para saber cómo utilizas nuestro sitio
Tu padre, madre o tutor puede aceptar o web y hacer estadísticas, y también para
rechazar las cookies pulsando los boto- personalizar tu visita (por ejemplo, cam-
nes de este mensaje. biando el aspecto de nuestras páginas
web o juegos según cómo los usas29).
Más información.
RECHAZAR ACEPTAR
28
Este supuesto se refiere a aquellos casos en los que el editor adapta el contenido del sitio web o aplicación
basándose en la información que obtiene por medio de las cookies y debe distinguirse del supuesto en el que es
el propio usuario quien, dentro de unos parámetros predeterminados, toma una decisión que afecta a cómo se le
muestra el contenido (por ejemplo, al seleccionar un idioma concreto de entre los ofrecidos por el editor). Tal y como
se ha indicado en el apartado 2.1.2 b), solo en este segundo caso, es decir, cuando la personalización responda a una
solicitud específica del usuario, las cookies estarán exentas del consentimiento informado.
29
En línea con lo indicado más arriba respecto de las cookies de personalización, estas modificaciones del contenido
al margen de las elecciones del usuario podrían ser, por ejemplo, que, si el editor observa que un usuario escoge
frecuentemente un mismo personaje de entre los seleccionables en un juego, por defecto le aparezca preseleccionado
el personaje que más veces escoge. En ningún caso, esta información podrá utilizarse para otros fines como la
personalización de contenidos publicitarios ni para elaborar un perfil de usuario.
27 Obligaciones
Guía de cookies
Los editores podrán utilizar cualesquiera fór- mientos indicados. En este sentido, la utiliza-
mulas de verificación que sean razonables ción de las cookies debería ir acompañada por
para verificar que el titular de la patria potes- un consentimiento informado de los usuarios
tad o tutela es quien presta el consentimiento para tal utilización, de forma que los destina-
y no el menor de catorce años (por ejemplo, tarios tengan la oportunidad de examinar la
preguntas o captchas). información y decidir si aceptan o no la utiliza-
ción de estos dispositivos.
Si el consentimiento para el uso de cookies
28 Obligaciones
Guía de cookies
29 Obligaciones
Guía de cookies
4.
RESPONSABILIDAD DE LAS PARTES
EN LA UTILIZACIÓN DE COOKIES
La LSSI no define quién es el responsable de trate directamente que esas entidades no tratan
cumplir con la obligación de facilitar informa- los datos con ninguna otra finalidad que no sea
ción sobre las cookies y obtener el consenti- la prestar el servicio al usuario, puesto que, en
miento para su uso. caso contrario, sería necesario informar de esas
otras finalidades y obtener el consentimiento.
Se hace necesario que los sujetos que partici-
INFORMAR Y DE OBTENER EL
continuación en función de la finalidad para la
que se tratan los datos que se obtienen a través
de la utilización de las cookies.
CONSENTIMIENTO
4.1 EL EDITOR O LOS TERCEROS En este supuesto se puede diferenciar si se usan
cookies propias o de terceros.
UTILIZAN LAS COOKIES PARA
FINALIDADES EXCEPTUADAS
En los casos en que el editor a través de la utiliza-
ción de cookies propias trata los datos para algu-
DE LAS OBLIGACIONES DE
na de las finalidades que no están exceptuadas
de la obligación de informar y obtener el consen-
INFORMAR Y DE OBTENER EL timiento, será necesario que informe sobre las fi-
nalidades para las se tratarán los datos y obtenga
CONSENTIMIENTO el consentimiento del usuario, a través de alguna
de las formas establecidas en la presente guía.
En aquellos casos en que un editor ofrece a los Asimismo, cuando se empleen cookies de terce-
usuarios un servicio y todas las cookies utiliza- ros para alguna o algunas de las finalidades no
das desde su página web se utilizan exclusiva- exentas, tanto el editor como las otras entidades
mente para las finalidades respecto de las que intervinientes en la gestión de las cookies ten-
no es necesario obtener el consentimiento enu- drán la responsabilidad de garantizar que los
meradas más arriba, tanto si son propias como usuarios están claramente informados acerca de
de terceros, no será necesario que informe de las cookies y de las finalidades para las se utili-
su utilización ni que obtenga el consentimiento. zarán y de obtener el preceptivo consentimiento.
No obstante, en el caso que emplee cookies de En este sentido, cuando el editor emplee una
terceros para la prestación del servicio solicita- CMP que cree un entorno en el que los terceros
do por el usuario deberá establecer contractual- que participan en el mismo puedan cumplir los
mente con aquellas entidades con las que con- deberes de información y obtención del con-
sentimiento, los terceros serán individual y di- no tienen relación directa con el usuario, cum-
rectamente responsables de su cumplimiento. plir los anteriores requisitos, y que los usuarios
tenderán a hacer llegar sus inquietudes a la en-
Generalmente, las cookies de terceros almacenan tidad a la que pueden identificar y con la que
información en el equipo terminal del usuario o tienen relación, es decir, al editor.
utilizan dicha información porque el editor, a la
hora de diseñar la página web, plataforma o apli- Hay que tener también en cuenta que los titula-
cación, previó la posibilidad de incluir contenidos res de las cookies, en la medida en que determi-
de terceros que las utilizan o porque emplea sof- nen los fines y los medios del tratamiento, son
tware de terceros que las requieren. responsables de la información personal que
recogen aquéllas y de los tratamientos de datos
Por ello, los editores, cuando no sean titulares posteriores que se realizan.
de las cookies que se utilizan, deberán asegurar
que los interesados reciben la información ne- Así, anunciantes, editores, agencias, redes pu-
cesaria y que están habilitados los mecanismos blicitarias y otros agentes intervinientes serán
que permitan su consentimiento, por ejemplo, responsables del tratamiento cuando utilicen
a través de obligaciones o garantías contractua- cookies propias y cuando, utilizando cookies de
les que obliguen al tercero titular de las cookies terceros, participen en la determinación de los
o a través de la instalación de plataformas para fines y medios del tratamiento, aunque este se
la gestión del consentimiento. realice a través de un encargado del tratamien-
to, como por ejemplo cuando un anuncian-
Así, cuando la información sobre las cookies te contrata a una agencia de medios para que
de terceros se ofrezca a través de un enlace a realice los tratamientos bajo su dirección y de
la página web del tercero, el editor tendrá que acuerdo con sus instrucciones.
asegurarse que los enlaces no estén rotos, sien-
do obligación del tercero velar por que la infor- Aquellos agentes que limiten su actuación a se-
mación no sea obsoleta y que esta se ofrezca guir las instrucciones del responsable del trata-
también en castellano o en la lengua cooficial miento tendrán la consideración de encargados
utilizada en el sitio web del editor. del tratamiento. La figura del encargado del tra-
tamiento se define en el artículo 4.8 del RGPD y
De esta forma, en tales supuestos y con la fina- se encuentra regulada en su artículo 28.
lidad de facilitar y garantizar el cumplimiento
de las obligaciones establecidas en este ám- En principio, cada responsable del tratamiento
bito, cuando se utilicen cookies de terceros, responderá del tratamiento concreto que reali-
en los contratos que se celebren entre los edi- ce. Incluso en aquellos casos en los que concu-
tores y los terceros se deberían incluir una o rran diferentes responsables del tratamiento,
varias cláusulas en las que se asegure que se cada uno de ellos asumirá su respectiva res-
ofrecerá a los usuarios la información requeri- ponsabilidad.
da y que se articulará la forma a través de la
cual se pueda obtener un consentimiento vá- No obstante, en aquellos casos en los que las
lido para la utilización de las cookies y para su entidades referidas en los párrafos anteriores
revocación, así como las consecuencias de la (anunciantes, agencias, redes publicitarias,
revocación del consentimiento para el editor y, editores y otros agentes) determinen conjun-
especialmente, para los terceros que lo obtu- tamente las finalidades y los medios del trata-
vieron a través del editor. miento, serán consideradas corresponsables
del tratamiento y deberán cumplir lo dispuesto
Debe tenerse presente que en la práctica, cuan- en el artículo 26 del RGPD. Dicho esto, la existen-
do no se usa una CMP, es más difícil para las cia de corresponsabilidad no se traducirá nece-
entidades que utilizan cookies de terceros, que sariamente en una responsabilidad equivalente
ANEXO I: PARTES
INTERVINIENTES
En los procesos de publicidad programática in- La siguiente figura contiene un gráfico con
tervienen multiplicidad de actores o agentes, los principales agentes que intervienen en la
entre los que se incluyen algunas herramientas compra digital de publicidad programática
tecnológicas, como los ad exchanges o las de- (aunque no todos necesariamente deben
mand side platforms (DSP). estar presentes):
SUJETO
ADSERVER AD NETWORK
DE LA RED
SSP DE RED PUBLICITARIA
DATA MANAGEMENT PLATFORM
SSP´s
AD EXCHANGE DSP´s
DSP AD EXCHANGE’s
RTB
Subasta en tiempo real
Trading Desk
AGENCIAS DE MEDIOS
ANUNCIANTES
33 Anexo
Guía de cookies
I. USUARIO
Es el destinatario, persona física, que accede una página o una aplicación móvil y, a su vez,
al servicio prestado por un editor, pudiendo ofrece junto a esta información publicidad so-
diferenciarse entre usuario registrado y no bre los servicios, productos o imagen de uno o
registrado. No obstante utilizarse, en la nor- varios anunciantes.
mativa legal, el término destinatario del servi-
cio, en la presente guía se emplea el término A la luz de esta definición se puede observar el
usuario, por ser éste de uso más común. doble papel o función que puede desarrollar
un editor. Actúa como prestador de un servi-
EDITOR O SOPORTE
túa como soporte, puede además ofertar a los
anunciantes espacios publicitarios que estarán
gestionados bien por él mismo, o bien por una
Es cualquier entidad prestadora de servicios de
o más entidades simultáneamente, mediante el
la sociedad de la información titular de una pá-
uso tecnologías que pueden requerir el uso de
gina web a los que puede acceder un usuario y
cookies para su funcionamiento.
para cuya prestación se utilizan cookies.
De esta manera es el soporte el que presenta
Por ejemplo, éste sería el caso del titular de una
la publicidad al usuario (interesado) a través
carpintería o de una pescadería que disponga de
de los espacios publicitarios que dispone, cuyo
una página web a través de la cual ofrezca sim-
conjunto se denomina “inventario publicitario”.
plemente información relacionada con los servi-
cios que presta o disponga de una tienda on-line
El soporte comercializa el inventario publicita-
a través de la cual se puedan efectuar transac-
rio a través de los siguientes agentes:
ciones comerciales o haya creado una aplicación
para móviles para cuyo funcionamiento puede ◤ Redes publicitarias.
ser necesario la utilización de cookies.
◤ Supply side platform (SSP)30.
Algunos editores, o soportes, también cono-
cidos como publishers, además de prestar un ◤ Agencias y/o anunciantes mediante
servicio a los usuarios ofertan, actuando como acuerdos directos accediendo a los ad
soportes, por si mismos o con la ayuda de uno servers31 de los mismos (o servidor de
o varios terceros, espacios publicitarios a los anuncios ―ordenador que almacena los
anunciantes para cuya gestión es necesaria la anuncios y los sirve al editor―).
utilización de cookies.
Éste sería, por ejemplo, el caso de una revista o Las cookies publicitarias que se instalan en el
de un medio de comunicación que presta a los navegador del usuario pueden provenir de los
usuarios un servicio de información a través de siguientes agentes:
30
Supply side platforms o plataformas tecnológicas publicitarias que permiten conectar un inventario a diversos ad
exchanges
31
Ad server (servidor de anuncios): Los ad servers son programas o plataformas de gestión utilizados para administrar
el inventario de anuncios de un editor. Para ello se suelen emplear cookies de terceros, de forma que estas cookies son
enviadas al equipo terminal del usuario no desde un dominio gestionado y controlado por el propio editor, sino desde
uno gestionado por el ad server.
34 Anexo
Guía de cookies
35 Anexo
Guía de cookies
Estas plataformas deberán estar sometidas a res para las campañas publicitarias que realizan
auditorías o revisiones que validen el cumpli- las agencias de publicidad.
miento de los referidos requisitos.
Algunas de estas entidades recaban, mediante
b) Agencias de publicidad y agencias de medios las cookies que gestionan, información de los
hábitos de navegación de los usuarios que ac-
Son entidades que se encargan del diseño y eje- ceden a los servicios o páginas ofrecidos por
cución de publicidad, así como de la creación, cualquiera de los editores a quienes represen-
preparación o programación de las campañas tan. Los datos son recabados con la finalidad de
publicitarias de los anunciantes, actuando en que la difusión de las piezas publicitarias de los
nombre y por cuenta de estos en la compra de anunciantes sea lo más eficiente posible. Para
espacios publicitarios. En este sentido, también ello analizan los hábitos de los usuarios en In-
se les puede considerar como demandantes de ternet con el fin de ofrecerles la publicidad más
espacios publicitarios para los anunciantes. adecuada a los intereses asociados a su perfil
de navegación. Este tipo de entidades actúan
c) Redes publicitarias o ad networks en el lado de la oferta, como ofertantes de es-
pacios, en nombre y representación, directa o
Son un conjunto de entidades que, actuando indirectamente de uno o varios editores.
en nombre y representación directa o indirec-
tamente de uno o varios editores, ofrecen, tam- A pesar de que este tipo de entidades muestran
bién directamente a los anunciantes o, indirec- a sus clientes de manera agregada los datos ob-
tamente a través otros demandantes, como las tenidos como resultado de la utilización de las
agencias de publicidad, la posibilidad de obte- cookies, será necesario informar y obtener el
ner espacios publicitarios o algún tipo de resul- consentimiento de los usuarios para la recogida
tado concreto como clics, ventas o registros, a de dichos datos y su agregación y tratamiento
través de la gestión y tratamiento de los datos posterior con la finalidad de gestionar la oferta
obtenidos de la utilización de las cookies des- de los espacios de los editores. Generalmente se
cargadas o almacenadas en los equipos termi- realizará desde la página web de los editores que
nales de los usuarios, cuando éstos acceden a usen este tipo de cookies propias o de terceros.
los servicios prestados por el editor.
Para llevar a cabo la gestión de estos espacios
La finalidad de la labor de estas entidades es lle- publicitarios de la forma más eficaz posible se
var a cabo, de la mejor manera posible, la gestión emplean diferentes tipos de equipos, tecno-
del inventario de espacios publicitarios, cuya ti- logías, programas o aplicaciones de gestión,
tularidad, corresponde a los editores, de forma como ad servers, ad exchanges, etc. que tratan
que converja con la demanda de los anunciantes en tiempo real los datos obtenidos, de forma
(venden el espacio publicitario de los editores). que las piezas publicitarias de los anunciantes
se incluyen en los espacios publicitarios de los
Es el editor quien decide si la totalidad o parte editores de forma automática en función de los
del inventario, del que dispone, es gestionado criterios que se establezcan en cada caso.
por una entidad en exclusiva o por varias enti-
dades simultáneamente en función de los crite- Finalmente, también es necesario señalar que
rios que establezca. es frecuente que esta labor de gestión sea sub-
contratada de forma total o parcial a otras em-
Este tipo de entidades suelen realizar una agre- presas especializadas en el desarrollo de las
gación de la oferta de los espacios publicitarios actuaciones necesarias para la gestión de los
y de los inventarios de varios editores. También espacios publicitarios.
pueden comprar inventario de distintos edito-
36 Anexo
Guía de cookies
Los anunciantes también tienen trading desk. b) Demand side platform (DSP)
Generalmente, el trading desk está enfocado Un DSP es una tecnología de puja que permite
hacia la compra inteligente de audiencias me- a anunciantes y/o agencias de medios comprar
diante tecnologías de optimización en múltiples inventario en diferentes ad exchanges.
plataformas (ad exchanges, networks, DSPs, so-
portes) de manera tal, que comprará aquella Los DSPs también conocidos como bidders:
impresión de manera más eficiente para los ob-
jetivos de sus clientes/anunciantes. ◤ Evalúan el valor de cada impresión.
Son plataformas tecnológicas publicitarias que De esta forma, la compra se hace impresión a
permiten conectar un inventario a diversos ad impresión, esto se conoce con la terminología
exchanges. “puja en tiempo real” (o “real-time bidding”, en
inglés). Un DSP tiene una interfaz única que per-
b) Ad exchange mite pujar, optimizar y obtener informes.
Ad exchange es el lugar donde se unen oferta y El DSP no puede acceder a las cookies del usua-
demanda para realizar transacciones comercia- rio hasta que contacte con el mismo, y eso no
les de compra y venta, donde los anunciantes y podrá hacerlo sin ganar la subasta del espacio,
los soportes se ponen en contacto. por eso los ad exchange y anunciantes utilizan
la cookie matching o cookie syncing.
Los soportes ofrecen y gestionan sus espacios
publicitarios y los anunciantes crean y gestio-
nan sus campañas. VII. EMPRESAS DE ANÁLISIS
Los ad exchanges proveen de una plataforma Y MEDICIÓN
tecnológica que facilita la automatización de
las subastas basadas en precio y las compras Son entidades que miden y/o analizan la nave-
en tiempo real, lo que conocemos como RTB gación de los usuarios en la página web de un
(real time bidding). Así pues, el principio de editor y su comportamiento con cualquiera de
funcionamiento de un ad exchange es la puja sus elementos o con la publicidad, a través del
en tiempo real. análisis de los datos obtenidos con la utilización
de las cookies.
37 Anexo
Guía de cookies
38 Anexo
Guía de cookies
39
www.aepd.es