El apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico establece:
“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”.
En particular, conviene precisar que, de conformidad con el precepto transcrito, el mismo aplica a cualesquiera “dispositivos de almacenamiento y recuperación de datos” en cualesquiera “equipos terminales de los destinatarios” y que el anexo de la citada LSSI define como “Destinatario del servicio o destinatario” a la “persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información”.
Así pues, el artículo 22 de la LSSI y la presente guía se refieren a la utilización de cookies y tecnologías similares utilizadas (tales como local shared objects o flash cookies, web beacons o bugs, etc.) para almacenar y recuperar datos de un equipo terminal (por ejemplo, un ordenador, un teléfono móvil o una tablet) de una persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información.
Las obligaciones legales impuestas por la normativa son dos, a saber: la obligación de transparencia y la obligación de obtención del consentimiento.
El apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos. Esta información debe facilitarse, como se ha indicado, con arreglo a lo dispuesto el RGPD, que requiere que el tratamiento de los datos de los usuarios se realice de forma transparente para ellos.
Por consiguiente, la información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.
En la política de cookies deberá incluirse la siguiente información:
-Identificación de quién utiliza las cookies, esto es, si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros con los que editor haya contratado la prestación de un servicio para el cual se requiera el uso de cookies, con identificación de estos últimos.
Para la utilización de las cookies no exceptuadas será necesario en todo caso obtener el consentimiento del usuario. Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares. También podrá obtenerse infiriéndolo de una inequívoca acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies. En ningún caso la mera inactividad del usuario implica la prestación del consentimiento por sí misma.
De conformidad con el apartado 2 del artículo 22 de la LSSI el consentimiento debe ser prestado por los “destinatarios” de los servicios de la sociedad de la información.
De acuerdo con el apartado d) del Anexo de la LSSI por “Destinatario del servicio o destinatario” debe entenderse “la persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información”. Y conforme a las definiciones realizadas en el apartado correspondiente, el término destinatario coincide con el de usuario, que es el utilizado en la presente guía.
Por ello, la información debe dirigirse directamente al usuario para que pueda expresar su consentimiento o su rechazo.