Las cookies tienen un potencial enorme en marketing

Alejandro García del Valle, Riestra Abogados
Alejandro García del Valle, Riestra Abogados.

¿Qué son las cookies?

Con esta sencilla pregunta comienzan multitud de regulaciones legales referentes a estas pequeñas porciones de código que nos acompañan en nuestra navegación por internet. Y pese a que la pregunta es sencilla, la respuesta no siendo demasiado compleja, ofrece multitud de variantes y definiciones ya que su tipología y finalidades son variadas.

Finalidades de las cookies

Las cookies son pequeños archivos de texto o programación que son instaladas por las páginas web que visitamos, para diversas finalidades.

Las cookies pueden recordar el idioma en que queremos ver la página, o bien recordar nuestra ubicación para ofrecernos una información adaptada al lugar donde nos encontremos, o recordar qué productos hemos introducido en nuestro carrito de la compra para que en una posterior visita nos lo recuerde.

Pero también pueden ir más allá. Las cookies pueden realizar un seguimiento de nuestra navegación para ofrecer al anunciante información valiosa de nuestro comportamiento en la web y hacer así un análisis más preciso del uso de la web que los usuarios puedan hacer.

Las cookies pueden ofrecer al anunciante información valiosa de nuestro comportamiento en la web y hacer así un análisis más preciso del uso de la web que los usuarios puedan hacer.

Las cookies también pueden seguir nuestra navegación para recordarnos posteriormente a través de banners publicitarios los productos que hemos consultado o que hemos dejado pendientes en el carrito de la compra de una página web anteriormente visitada. Ya no nos asustamos de que horas después de que hayamos visitado un e-commerce, una página web totalmente distinta nos ofrezca publicidad de los mismos productos que hemos estado viendo.

Las cookies pueden seguir nuestra navegación para recordarnos a través de banners publicitarios los productos que hemos consultado o que hemos dejado pendientes en el carrito de la compra de una página web anteriormente visitada

Todos sabemos, y en especial en el mundo del marketing, que las cookies tienen un potencial enorme. Ayudan a conocer más de cerca al internauta a base de sacrificar una porción de su privacidad. Ante semejante hazaña, la ley se pone del lado del usuario y regula la utilización de estos archivos.

Las cookies ayudan a conocer más de cerca al internauta a base de sacrificar una porción de su privacidad. Ante semejante hazaña, la ley se pone del lado del usuario y regula la utilización de estos archivos

En este punto, conviene recordar que la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) hace una distinción expresa entre las cookies técnicas y necesarias para la prestación de un servicio de la sociedad de la información, y aquellas cookies que no son en absoluto necesarias, como por ejemplo, las cookies analíticas o cookies de seguimiento o cookies de publicidad.

La LSSI hace una distinción expresa entre las cookies técnicas y necesarias para la prestación de un servicio de la sociedad de la información, y aquellas cookies que no son en absoluto necesarias, como por ejemplo las cookies analíticas o cookies de seguimiento o cookies de publicidad.

Cookies necesarias vs. cookies no necesarias

Para saber si las cookies que vamos a instalar están sujetas a la regulación impuesta por la LSSI, debemos partir de una primera diferenciación: las cookies que vamos a utilizar, ¿son necesarias para la navegación? Y cuando nos referimos a que son necesarias para la navegación nos referimos a que la ley define las cookies necesarias como aquellas que:

 permiten únicamente la comunicación entre el equipo del usuario y la red.
 estrictamente prestan un servicio expresamente solicitado por el usuario.

Ya en su día, el Grupo de Trabajo del Artículo 29 (GT29), predecesor del actual Comité Europeo de Protección de Datos, en su Dictamen 4/2012, concretó qué tipos de cookies estaban excluidas del ámbito de aplicación de la LSSI:

  • Cookies de «entrada del usuario»
  • Cookies de autenticación o identificación de usuario (únicamente de sesión)
  • Cookies de seguridad del usuario
  • Cookies de sesión de reproductor multimedia
  • Cookies de sesión para equilibrar la carga
  • Cookies de personalización de la interfaz de usuario
  • Cookies de complemento (plug-in) para intercambiar contenidos sociales

Por tanto, si nuestras cookies pertenecen a estos grupos, estaríamos exentos de la obligación de cumplir con la regulación de la LSSI. El resto de cookies, deberán cumplir con los preceptos y obligaciones emanadas de la normativa europea y que en nuestro caso, vienen impuestas por la LSSI.

Regulación de las cookies

Como ya mencionamos anteriormente, las cookies vienen reguladas por la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), concretamente, en su artículo 22.2:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Dos obligaciones de las Cookies: información/transparencia y obtención del consentimiento

Por tanto, dos son las obligaciones que nos impone la ley: información/transparencia y obtención del consentimiento.

Naturalmente que la información y transparencia deben reflejar las indicaciones del Reglamento Europeo de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), y no de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, esta última norma ya derogada.

La información a la que hace referencia a la ley debe tratarse de una información suficientemente completa y debe hacer referencia a los siguientes puntos:

  • Definición y función genérica de las cookies.
  • Información sobre el tipo de cookies que se utilizan y su finalidad.
  • Identificación de quién utiliza las cookies.
  • Información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies.
  • En su caso, información sobre las transferencias de datos a terceros países realizadas por el editor.
  • Elaboración de perfiles que implique la toma de decisiones automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar.
  • Período de conservación.
  • Otra información relativa a la política de privacidad que pueda ser conveniente, como por ejemplo, los derechos de los interesados.

¿Cómo debemos mostrar esta información?

Atendiendo al principio de transparencia del RGPD, no debemos abusar de contenidos excesivos y mostrar la información de una manera concisa, clara y sencilla, alejándonos de redacciones excesivamente técnicas y/o jurídicas que dificulten su comprensión o expresiones genéricas que puedan inducir a error.

Hemos de atenernos también al público al que nos dirigimos. No es lo mismo una página dirigida a menores, que un website dirigido a profesionales de Internet y tecnología.

Hemos de atenernos al público al que nos dirigimos.No es lo mismo una página dirigida a menores, que un website dirigido a profesionales de internet y tecnología.

En relación a la ubicación o forma de mostrar la información, el GT29 se decanta por una información por capas o por niveles.

En una primera capa que aparecerá en el primer acceso a la web, informaremos acerca de la identidad del editor, las finalidades de las cookies, propiedad de las cookies, tipo de datos que se recabarán, la forma de aceptar o rechazar las cookies, un enlace a la política general de cookies.

Según la AEPD en su nueva Guía sobre el uso de las Cookies (noviembre de 2019), esta información se facilitará antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.

La ubicación o forma de mostrar la información, el GT29 se decanta por una información por capas o niveles

La vía más garantista para los usuarios sería la de ofrecer en esta primera capa la posibilidad de aceptar la totalidad de cookies, rechazarlas o bien configurar por tipos su instalación.

Asimismo, en relación a la segunda capa o segundo nivel, la información aparecerá desarrollada en los mismos términos de transparencia que hemos indicado anteriormente. Incluiremos igualmente un panel de configuración donde los usuarios puedan rechazar todas o algunos de los tipos de cookies que utilice la página web.

Esta segunda capa aparecerá en un link denominado Política de Cookies o Cookies. Dicho link deberá estar disponible permanentemente en la página web.

Esta segunda capa de información aparecerá en un link denominado Política de Cookies o Cookies. Dicho link deberá estar disponible permanentemente en la página web.

Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos

Con la entrada en vigor y su aplicación desde el 25 de mayo de 2018 del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el llamado Reglamento General de Protección de Datos o RGPD, la Agencia Española de Protección de datos ha visto lógicamente necesaria una actualización de su Guía sobre el uso de las cookies.

Desde el pasado 8 de noviembre, la AEPD, a través de su página web, ha puesto a disposición del público la nueva Guía sobre el uso de las cookies.

Se adapta, por tanto, dicho texto a las novedades del Reglamento y de la nueva LOPDGDD, indicando detalladamente qué procedimientos son los más recomendables para una correcta regulación de las cookies.

Esta Guía se basa fundamentalmente en los criterios a seguir para ofrecer a los usuarios una información clara, sencilla y completa acerca de las cookies que puedan emplearse, así como la forma de obtener correctamente el consentimiento exigido por la LSSI.


Esta guía es por tanto una lectura muy recomendable para comprender mejor las vías de regulación de las cookies y dar cumplimiento con los requerimientos normativos al respecto, buscando, a la postre, una mayor protección de la privacidad de los usuarios frente a las tecnologías que ofrece hoy en día Internet.

Etiquetas: , , , , ,

Alejandro García del Valle Méndez es abogado especialista en marketing legal en Riestra Abogados. Su trayectoria profesional se desarrolla principalmente en el ámbito del asesoramiento jurídico en el sector de la publicidad, asesorando a agencias de publicidad y departamentos de marketing en la regulación de campañas de publicidad y acciones promocionales. Licenciado en Derecho por la Universidad de Navarra y Máster en Derecho Informático por la Universidad Compluetense. Coautor de las publicaciones del despacho: “Marketing promocional, mecánicas, eficacia y seguridad (2016)”; Guía legal de las Acciones de Marketing en Redes Sociales (2013); Manual de Marketing Legal (2011, 2013); Regulación legal en entornos web 2.0 (2009); Marketing legal en el sector de automoción (2007/2008); introducción al marketing legal (2006); Internet en las empresas. Obligaciones legales (2005). Ha sido profesor en ESIC Barcelona del módulo de Marketing Legal del Máster en Digital Business y profesor en el Curso Superior en Community Management del Instituto de Formación Empresarial de la Cámara de Comercio de Madrid.