En el mundo digital de hoy, donde la privacidad y seguridad en línea son de suma importancia, el papel de las cookies analíticas se vuelve cada vez más relevante. La Agencia Española de Protección de Datos (AEPD) ha proporcionado directrices claras sobre el uso de estas herramientas en una nueva guía, enfatizando su importancia y estableciendo normas para su uso adecuado.
Las cookies analíticas, según la guía de la AEPD, son dispositivos de almacenamiento y recuperación de datos utilizados principalmente para recoger estadísticas de tráfico o rendimiento en sitios web y aplicaciones móviles. Estos pequeños archivos de datos, gestionados por el editor del sitio o por un proveedor de servicios, son fundamentales para comprender cómo interactúan los usuarios con el contenido digital, facilitando así una experiencia más personalizada y eficiente.
Para que estas cookies sean exentas de consentimiento, su uso debe limitarse estrictamente a la medición de la audiencia del sitio o aplicación, sin permitir el seguimiento del usuario en diferentes aplicaciones o sitios web. Además, no deben utilizarse para cotejar datos con otras operaciones de tratamiento o transmitirlos a terceros.
La AEPD destaca que solo ciertas mediciones son estrictamente necesarias para la administración adecuada de un sitio de Internet. Estas incluyen la medición de la audiencia por página, el origen geográfico de las solicitudes, el tipo de dispositivo utilizado por los visitantes, y estadísticas sobre el tiempo de carga y acciones de los usuarios en cada página.
Garantías para no solicitar consentimiento
La AEPD establece garantías mínimas que deben implementarse cuando se usan cookies analíticas exentas del requisito de obtener consentimiento. Estas garantías incluyen:
- Información a los usuarios: Se debe informar a los usuarios sobre el uso de estas cookies analíticas. Por ejemplo, esto puede hacerse a través de la política de privacidad del sitio web o la aplicación móvil. Es vital que los usuarios sean conscientes de la presencia de estas cookies y comprendan su propósito.
- Limitación de la vida útil: La duración de estas cookies debe limitarse a un período que permita una comparación significativa de audiencias a lo largo del tiempo. La guía sugiere un periodo máximo de 13 meses, y recalca que esta duración no debe extenderse automáticamente con nuevas visitas.
- Periodo de conservación de la información: La información recopilada a través de estas cookies debe conservarse durante un período máximo de 25 meses. Este límite temporal es crucial para proteger la privacidad del usuario y garantizar que los datos no se almacenen indefinidamente.
- Revisión periódica: La vida útil de las cookies y el periodo de conservación de la información deben ser objeto de una revisión periódica. Este proceso asegura que la duración de estas cookies y la retención de datos se mantengan estrictamente necesarios y no excedan lo que es esencial para la medición de la audiencia.
En situaciones donde un editor recurre a un proveedor de servicios de medición de audiencia, se requieren garantías adicionales como:
- Compromiso Contractual con el Proveedor: Debe existir un acuerdo contractual entre el editor y el proveedor de servicios que cumpla con los requisitos del Reglamento General de Protección de Datos (RGPD). Este contrato debe incluir:
- La obligación de no reutilizar los datos recopilados en ningún caso, en el marco del contrato.
- La restricción del tratamiento de los datos a los propósitos establecidos como estrictamente necesarios para la medición de la audiencia.
- El cumplimiento con las garantías establecidas para el caso de dar servicio a múltiples editores.
- La conformidad con las condiciones de transferencia de datos fuera de la Unión Europea, según lo estipulado en el RGPD.
- Evaluación y Documentación de la Configuración de Herramientas: El editor, o un tercero independiente, debe realizar y documentar una evaluación para determinar si es posible y si efectivamente se han configurado las herramientas proporcionadas por el proveedor para garantizar el cumplimiento de los requisitos anteriores.
Es crucial por todo ello que cada editor evalúe el uso específico de sistemas como Google Analytics y otras herramientas similares para determinar si requieren el consentimiento explícito de los usuarios. Esta evaluación debe realizarse con cuidado, teniendo en cuenta tanto las directrices de la AEPD como las configuraciones y prácticas específicas del sitio o la aplicación en cuestión.