WETRACKS

Política de cookies

3.2. Consentimiento

3.2.1. El consentimiento como base para el cumplimiento de la normativa

Para la utilización de las cookies no exceptuadas será necesario en todo caso obtener el consentimiento del usuario. Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares. También podrá obtenerse infiriéndolo de una inequívoca acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies. En ningún caso la mera inactividad del usuario implica la prestación del consentimiento por sí misma.

Para que dicho consentimiento sea válido será necesario que el consentimiento haya sido otorgado de forma libre e informada. Por tanto, es necesario tener en cuenta:

a) Que las modalidades de prestación del consentimiento pueden ser variadas. La obtención del consentimiento a través de un clic del usuario o de una conducta similar no cabe duda de que facilitará la prueba de que se ha obtenido. Esta fórmula puede ser la más apropiada para usuarios registrados.

b) Que el usuario deberá haber realizado una clara acción afirmativa.

c) Que tiene que ser evidente para el usuario con qué concreta acción suya acepta la utilización de las cookies. En este sentido, el uso de un botón del tipo “Aceptar” se considerará información suficiente, sin necesidad de aclarar que pulsando “Aceptar” se aceptan las cookies. En cambio, acciones complejas o menos obvias que el uso de botones de aceptación o guardado de la configuración escogida deberán explicarse al usuario. El CEPD ha establecido que seguir navegando no es una forma válida de prestar el consentimiento. Del mismo modo, la consulta de la segunda capa informativa si la información se presenta por capas, así como la navegación necesaria para que el usuario gestione sus preferencias en relación con las cookies no es una conducta activa de la que pueda derivarse la aceptación de cookies.

d) Que el usuario, en todo caso, podrá negarse a aceptar las cookies.

e) Que la información que se otorgue al usuario para que pueda consentir la utilización de las cookies se encuentre separada de la información que se le ofrezca sobre otros asuntos.

f) Que la aceptación de los términos o condiciones de uso de la página web o servicio se separe de la aceptación de la política de privacidad o cookies.

g) Que, aunque las cookies no suelen utilizarse en escenarios en los que el RGPD exige el consentimiento explícito de los interesados23, cuando este consentimiento explícito sea necesario (artículos 9.2 a), 22.2 c) y 49.1 a) del RGPD), el consentimiento solo podrá obtenerse mediante botones de aceptación, siempre que incluya una leyenda específica con el término “consiento” y se facilite información completa sobre las categorías especiales de datos respecto de las que se consienten, las decisiones individuales automatizadas o las transferencias a terceros países, según el caso.

ejemplo-cookies

Ejemplo COOKIES

Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ.

Marca esta casilla si consientes que, para dichos fines de análisis y de elaboración de perfiles a partir de tus hábitos de navegación para mostrarte publicidad personalizada, utilicemos categorías especiales de datos (mencionar aquí las categorías especiales de datos que se utilicen en cada caso)

A los efectos del ejemplo anterior podría ser válido que en el texto del banner se hiciera referencia a “categorías especiales de datos”, subrayado y destacado en otro color, como un enlace y al pasar el puntero por encima se abriese un globo especificando las categorías concretas que se utilizan o que se envíe directamente a una lista de éstas.

3.2.2. Quién debe prestar el consentimiento

De conformidad con el apartado 2 del artículo 22 de la LSSI el consentimiento debe ser prestado por los “destinatarios” de los servicios de la sociedad de la información.

De acuerdo con el apartado d) del Anexo de la LSSI por “Destinatario del servicio o destinatario” debe entenderse “la persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información”. Y conforme a las definiciones realizadas en el apartado correspondiente, el término destinatario coincide con el de usuario, que es el utilizado en la presente guía.

Por ello, la información debe dirigirse directamente al usuario para que pueda expresar su consentimiento o su rechazo.

3.2.3. Modalidades de obtención del consentimiento

La determinación de qué método será apropiado para obtener el consentimiento para usar cookies dependerá del tipo de cookies que se van a utilizar, de su finalidad y de si son propias o de terceros. Un aspecto a tener en cuenta es si la relación con el usuario la tiene el editor o los terceros.

En este sentido, debe indicarse si el consentimiento se presta solo para la página web en la que se está solicitando o si se facilita también para otras páginas web del mismo editor o incluso para terceros asociados al editor en el marco de las finalidades de las cookies sobre las que se ha ofrecido información.

Caben, entre otros, los siguientes mecanismos de obtención del consentimiento:

a) Al solicitar el alta en un servicio.

Es posible solicitar el consentimiento para el uso de cookies cuando el usuario solicita el alta en un servicio, siempre que este consentimiento esté separado y no se agrupe con la aceptación de los términos y condiciones de uso de la página web, de su política de privacidad o de las condiciones generales del servicio.

b) Durante el proceso de configuración del funcionamiento de la página web o aplicación.

Muchas páginas web y aplicaciones móviles permiten al usuario configurar el servicio, pudiendo este configurar características como el idioma, el tipo de letra, el color de fondo de pantalla, etc. Por las características concretas de las aplicaciones, estas además suelen preguntar al usuario si pueden acceder a información de su terminal (como agenda, para sugerir amigos o álbum de fotos). Así, la prestación del consentimiento para la utilización de las cookies puede configurarse durante el proceso de elección o especificación por parte del usuario de las características, quedando el consentimiento integrado en la elección del usuario y recordando los ajustes elegidos por este.

c) A través de plataformas de gestión del consentimiento (consent management platform o CMP).

En la medida en que las CMP cumplan los requisitos y garantías que se indican en el apartado v a) del Anexo, serán apropiadas como métodos de obtención del consentimiento.

d) Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido, por ejemplo, en la página web.

Otra de las posibilidades de obtención del consentimiento es antes del momento en que se vaya a descargar un servicio incluido en la página web o en la aplicación (por ejemplo, un vídeo, una imagen o un juego). En tales casos, si las cookies que se pretenden utilizar no son necesarias para el funcionamiento del servicio o de la aplicación, se debe permitir a los usuarios dar su consentimiento antes de la descarga del servicio o de la aplicación. Ha de recordarse que en el caso de que una página web ofrezca contenidos audiovisuales, estos son parte del servicio expresamente solicitado por el usuario, estando por tanto exceptuado del deber de requerir tal consentimiento para mostrar tal contenido. Si el usuario desea ejercer un derecho que le está legalmente reconocido (por ejemplo, la baja en un servicio telefónico, de acceso a Internet o de otro tipo) y la aplicación o servicio es el único medio facilitado al usuario para ejercitar tal derecho, no podrá condicionarse el acceso a la aplicación o servicio a la aceptación de las cookies no necesarias.

e) A través del formato de información por capas.

En el formato de información por capas que antes indicábamos, la primera capa, que contiene la información esencial, debe incluir también la petición del consentimiento para la utilización de las cookies. En estos casos, el usuario manifiesta si acepta o no la utilización de las cookies al realizar o no la clara acción afirmativa de la que ha sido adecuadamente informado, y también es informado, de modo permanente, en la segunda capa sobre la utilización de las cookies y el modo de configurarlas y/o rechazarlas. A estos efectos, y a modo de ejemplo, puede constituir consentimiento que el usuario, tras haber sido informado sobre el uso de cookies, clique en un botón de aceptación. La información que se ofrezca en esta primera capa se podrá mostrar a través de un formato que sea visible para el usuario, como por ejemplo un banner, una barra o a través de técnicas o dispositivos similares, teniendo en cuenta que la localización en la parte superior de la página normalmente capta mejor la atención de los usuarios. En los terminales de pantalla reducida se podrá adecuar el tamaño y el contenido de primera capa a las dimensiones de la misma.

f) A través de la configuración del navegador.

Tanto la Directiva sobre privacidad como la LSSI sugieren que la configuración del navegador podría ser una de las formas de obtener el consentimiento. Para que esta opción sea válida, la configuración del navegador debería poder utilizarse de forma que permita que los usuarios manifiesten su conformidad con la utilización de las cookies según lo dispuesto en el RGPD y teniendo en cuenta lo dictaminado por el CEPD, en sus directrices sobre el consentimiento, esto es, el consentimiento debería ser separado para cada uno de los fines previstos y la información que se facilita debería identificar a los responsables del tratamiento. A efectos de esta identificación, no será necesaria la denominación social completa, sino que será suficiente incluir la marca o nombre con el que el responsable se identifique de cara al público. En dichos términos, la configuración del navegador sería una opción válida para obtener el consentimiento, pero no serviría como mecanismo único para que el usuario pueda denegar o revocar el consentimiento para el uso de cookies. El editor debe ofrecer al usuario, en todo caso, una fórmula para que pueda denegar o revocar el consentimiento prestado para el uso de cookies, a través de su propia página web o, en su caso, facilitar información sobre las herramientas proporcionadas, para la retirada del consentimiento, por los terceros que utilizan las cookies, para que el usuario pueda ejercer su derecho a retirar el consentimiento tan fácilmente como lo otorgó.

3.2.4. Consentimiento de menores de 14 años

Asimismo, en el caso de sitios web o servicios en línea específicamente dirigidos a menores, es conveniente recordar la necesidad de adoptar cautelas adicionales como son una mayor sencillez y claridad del lenguaje empleado.

Tratándose de menores de 14 años, el responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento para el tratamiento de datos personales fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias del tratamiento. Así, entre otros factores, a la hora de establecer medidas para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela, deberá considerarse el nivel de riesgo asociado a la utilización de las cookies (por ejemplo, teniendo en cuenta la naturaleza de los datos que se recopilan) y atenderse especialmente al principio de minimización de datos24 . A menor riesgo, más sencillo podrá ser el sistema de verificación implementado. Por ejemplo, tratándose de usuarios no registrados de un sitio web dirigido a menores, si sus datos de dispositivo y de navegación se utilizan únicamente con fines analíticos, el consentimiento del titular de la patria potestad o tutela podría obtenerse previa advertencia o llamada dirigida al menor indicándole en la primera capa informativa que, si tiene menos de 14 años, antes de seguir navegando, avise a su padre, madre o tutor para que acepte, configure o rechace las cookies, evitando, por tanto, solicitar datos adicionales del menor o del titular de la patria potestad o tutela.

politica-cookies-ejemplo-menor-1

politica-cookies-ejemplo-menor-2

Cuando el uso proyectado de los datos tenga por objeto recordar determinada información del usuario o su terminal para alterar automáticamente determinados aspectos de la navegación y personalizar su experiencia (por ejemplo, el idioma del sitio web o el aspecto con el que se presentan los contenidos), sin que llegue no obstante a elaborarse un perfil del menor, generalmente, y a falta del correspondiente análisis de riesgos conforme a las circunstancias concretas del caso, deberían adoptarse cautelas adicionales para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela.Así, por ejemplo, podría preguntarse en primer lugar al usuario si tiene 14 años o más y, en caso de respuesta negativa, incluir el siguiente mensaje: (ejemplo 2)

El sistema del ejemplo debería ser capaz de detectar incidencias que lleven a la conclusión de que los datos introducidos no son correctos para, en tal caso, evitar la utilización de cookies hasta obtener el consentimiento del titular de la patria potestad o tutela. Podrían considerarse incidencias de este tipo las fechas que aún no hayan llegado, o que impliquen que el titular de la patria potestad o tutela no es mayor de edad o que tiene una edad tan avanzada que no es razonable que la persona siga con vida o tenga hijos menores de catorce años.

Los editores podrán utilizar cualesquiera fórmulas de verificación que sean razonables para verificar que el titular de la patria potestad o tutela es quien presta el consentimiento y no el menor de catorce años (por ejemplo, preguntas o captchas).

Usos de mayor riesgo que los indicados en los ejemplos 1 y 2 (por ejemplo, cuando se evalúen aspectos personales para predecir preferencias o intereses personales o para mostrar publicidad personalizada, especialmente si se comparten datos con terceros) podrían requerir solicitar información adicional de los padres o tutores a efectos de verificación (por ejemplo, un email de contacto al que el editor pueda remitir un correo electrónico con la finalidad de que se verifique la aceptación por los padres o el tutor del menor). Sobre este particular ha de tenerse en cuenta que el GT2925 recomendó que las organizaciones deben abstenerse, en general, de elaborar perfiles sobre los niños con fines de mercadotecnia, dado que los niños representan un grupo más vulnerable de la sociedad. Por ello en aquellos casos en que el consentimiento no se preste por los padres o tutor del menor, por tener este más de 14 años, se recomienda a los editores abstenerse de utilizar cookies de publicidad comportamental en las webs dirigidas a menores o cuya audiencia esté compuesta mayoritariamente de menores. Si el consentimiento para el uso de cookies se obtuviese durante el proceso de alta en un servicio, o en el contexto de otro proceso en el que se soliciten datos personales a los menores, como pueden ser el nombre y apellidos, una dirección de email u otros datos de contacto, en estos casos podrá solicitarse a efectos de verificación información adicional sobre los padres o tutores (por ejemplo, nombre y apellidos, una dirección de email con la finalidad anteriormente descrita, o una copia del documento nacional de identidad o documento equivalente) o pedir a estos que suscriban una declaración de consentimiento. 

3.2.5. Cuándo pueden utilizarse y, en su caso, instalarse las cookies

Respecto al momento en el que hay que obtener el consentimiento para la utilización y, en su caso, instalación de las cookies debe recordarse que el artículo 22 de la LSSI señala que:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

En consecuencia, la utilización de la cookie podrá tener lugar cuando el usuario disponga de la información preceptiva sobre las cookies y la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos indicados. En este sentido, la utilización de las cookies debería ir acompañada por un consentimiento informado de los usuarios para tal utilización, de forma que los destinatarios tengan la oportunidad de examinar la información y decidir si aceptan o no la utilización de estos dispositivos.

3.2.6. Obtención del consentimiento para el uso de cookies cuando un editor presta servicios a través de diferentes páginas

Un mismo editor que presta diferentes servicios a través de diferentes dominios podrá, a través de una sola página web, informar y obtener el consentimiento para la utilización de las cookies que se envíen desde el resto de dominios que sean de su titularidad y ofrezcan contenidos o tengan características similares, con motivo de la prestación de los servicios solicitados por el usuario, siempre que se informe, además de lo señalado anteriormente en el apartado sobre la información, sobre cuáles son las páginas web o dominios de su titularidad desde los que se van a enviar las cookies, el tipo de cookies y las finalidades para la que se tratan y se recaba el consentimiento del usuario. En el caso de que las páginas a través de las que presta servicios un editor ofrezcan contenidos o tengan características que no sean similares (por ejemplo: algunas de las páginas contengan contenidos para adultos), será necesario adoptar cautelas adicionales.

3.2.7. Cambios en el uso de las cookies

Como regla general, siempre que un consentimiento haya sido obtenido de forma válida, no será necesario obtenerlo cada vez que un usuario visite de nuevo la misma página web desde la que se presta el servicio. En todo caso, es evidente que si los fines de uso de las cookies o los terceros que hacen uso de las cookies cambian después de haber obtenido el consentimiento, será necesario actualizar la política de cookies y permitir a los usuarios tomar una nueva decisión.

3.2.8. Actualización del consentimiento

El CEPD, en sus directrices sobre el consentimiento, recomienda como mejor práctica la renovación del consentimiento a intervalos apropiados. Esta Agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.

3.2.9. Retirada del consentimiento para el uso de cookies

Los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento. A tal fin, el editor deberá asegurarse de que facilita información a los usuarios en su política de cookies sobre cómo pueden retirar el consentimiento y eliminar las cookies. El usuario debe poder revocar el consentimiento de forma fácil. El sistema que se ofrezca para retirar el consentimiento debe ser tan fácil como el utilizado cuando se prestó. Se considerará que esa facilidad existe, por ejemplo, cuando el usuario tenga acceso sencillo y permanente al sistema de gestión o configuración de las cookies.

3.2.10. Posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies

Siguiendo las directrices del CEPD sobre el consentimiento, para que este se dé libremente, el acceso a los servicios y funcionalidades no debe supeditarse a la aceptación por el usuario del uso de cookies. Por ello, no podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento, tal y como se explica a continuación. Este criterio resulta especialmente importante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario, por ser, por ejemplo, el acceso a un sitio web el único medio facilitado al usuario para ejercitar tal derecho. Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. Conforme establecen las Directrices 05/2020 sobre el consentimiento del CEPD, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.

4. RESPONSABILIDAD DE LAS PARTES EN LA UTILIZACIÓN DE COOKIES

La LSSI no define quién es el responsable de cumplir con la obligación de facilitar información sobre las cookies y obtener el consentimiento para su uso. Se hace necesario que los sujetos que participan en la utilización de las cookies colaboren para asegurar el cumplimiento de las exigencias legales establecidas. Básicamente en la gestión de las cookies y en el tratamiento de los datos obtenidos se distinguen las dos situaciones que se describen a continuación en función de la finalidad para la que se tratan los datos que se obtienen a través de la utilización de las cookies.

4.1. El editor o los terceros utilizan las cookies para finalidades exceptuadas de las obligaciones de informar y de obtener el consentimiento

En aquellos casos en que un editor ofrece a los usuarios un servicio y todas las cookies utilizadas desde su página web se utilizan exclusivamente para las finalidades respecto de las que no es necesario obtener el consentimiento enumeradas más arriba, tanto si son propias como de terceros, no será necesario que informe de su utilización ni que obtenga el consentimiento.

No obstante, en el caso que emplee cookies de terceros para la prestación del servicio solicitado por el usuario deberá establecer contractualmente con aquellas entidades con las que contrate directamente que esas entidades no tratan los datos con ninguna otra finalidad que no sea la prestar el servicio al usuario, puesto que, en caso contrario, sería necesario informar de esas otras finalidades y obtener el consentimiento.

4.2. El editor o los terceros utilizan las cookies para finalidades no exceptuadas de las obligaciones de informar y obtener el consentimiento

En este supuesto se puede diferenciar si se usan cookies propias o de terceros. En los casos en que el editor a través de la utilización de cookies propias trata los datos para alguna de las finalidades que no están exceptuadas de la obligación de informar y obtener el consentimiento, será necesario que informe sobre las finalidades para las se tratarán los datos y obtenga el consentimiento del usuario, a través de alguna de las formas establecidas en la presente guía. Asimismo, cuando se empleen cookies de terceros para alguna o algunas de las finalidades no exentas, tanto el editor como las otras entidades intervinientes en la gestión de las cookies tendrán la responsabilidad de garantizar que los usuarios están claramente informados acerca de las cookies y de las finalidades para las se utilizarán y de obtener el preceptivo consentimiento. En este sentido, cuando el editor emplee una CMP que cree un entorno en el que los terceros que participan en el mismo puedan cumplir los deberes de información y obtención del consentimiento, los terceros serán individual y directamente responsables de su cumplimiento. Generalmente, las cookies de terceros almacenan información en el equipo terminal del usuario o utilizan dicha información porque el editor, a la hora de diseñar la página web, plataforma o aplicación, previó la posibilidad de incluir contenidos de terceros que las utilizan o porque emplea software de terceros que las requieren. Por ello, los editores, cuando no sean titulares de las cookies que se utilizan, deberán asegurar que los interesados reciben la información necesaria y que están habilitados los mecanismos que permitan su consentimiento, por ejemplo, a través de obligaciones o garantías contractuales que obliguen al tercero titular de las cookies o a través de la instalación de plataformas para la gestión del consentimiento. Así, cuando la información sobre las cookies de terceros se ofrezca a través de un enlace a la página web del tercero, el editor tendrá que asegurarse que los enlaces no estén rotos, siendo obligación del tercero velar por que la información no sea obsoleta y que esta se ofrezca también en castellano o en la lengua cooficial utilizada en el sitio web del editor. De esta forma, en tales supuestos y con la finalidad de facilitar y garantizar el cumplimiento de las obligaciones establecidas en este ámbito, cuando se utilicen cookies de terceros, en los contratos que se celebren entre los editores y los terceros se deberían incluir una o varias cláusulas en las que se asegure que se ofrecerá a los usuarios la información requerida y que se articulará la forma a través de la cual se pueda obtener un consentimiento válido para la utilización de las cookies y para su revocación, así como las consecuencias de la revocación del consentimiento para el editor y, especialmente, para los terceros que lo obtuvieron a través del editor.Debe tenerse presente que en la práctica, cuando no se usa una CMP, es más difícil para las entidades que utilizan cookies de terceros, que no tienen relación directa con el usuario, cumplir los anteriores requisitos, y que los usuarios tenderán a hacer llegar sus inquietudes a la entidad a la que pueden identificar y con la que tienen relación, es decir, al editor. Hay que tener también en cuenta que los titulares de las cookies, en la medida en que determinen los fines y los medios del tratamiento, son responsables de la información personal que recogen aquéllas y de los tratamientos de datos posteriores que se realizan. Así, anunciantes, editores, agencias, redes publicitarias y otros agentes intervinientes serán responsables del tratamiento cuando utilicen cookies propias y cuando, utilizando cookies de terceros, participen en la determinación de los fines y medios del tratamiento, aunque este se realice a través de un encargado del tratamiento, como por ejemplo cuando un anunciante contrata a una agencia de medios para que realice los tratamientos bajo su dirección y de acuerdo con sus instrucciones. Aquellos agentes que limiten su actuación a seguir las instrucciones del responsable del tratamiento tendrán la consideración de encargados del tratamiento. La figura del encargado del tratamiento se define en el artículo 4.8 del RGPD y se encuentra regulada en su artículo 28. En principio, cada responsable del tratamiento responderá del tratamiento concreto que realice. Incluso en aquellos casos en los que concurran diferentes responsables del tratamiento, cada uno de ellos asumirá su respectiva responsabilidad. No obstante, en aquellos casos en los que las entidades referidas en los párrafos anteriores (anunciantes, agencias, redes publicitarias, editores y otros agentes) determinen conjuntamente las finalidades y los medios del tratamiento, serán consideradas corresponsables del tratamiento y deberán cumplir lo dispuesto en el artículo 26 del RGPD. Dicho esto, la existencia de corresponsabilidad no se traducirá necesariamente en una responsabilidad equivalente de las distintas entidades a los que atañe un tratamiento de datos personales, sino que la responsabilidad de cada entidad dependerá de la implicación que tenga en el tratamiento concreto. Por lo tanto, el nivel de responsabilidad de cada una de ellas deberá evaluarse caso por caso y teniendo en cuenta todas las circunstancias pertinentes en función de sus responsabilidades respectivas asumidas en la determinación de medios y fines del tratamiento. En este sentido, el alcance de las obligaciones de información y obtención del consentimiento por parte del editor respecto de las cookies de terceros se circunscribe a los tratamientos de los que es responsable, incluida en su caso la responsabilidad conjunta en cuanto a que el usuario conozca y consienta la utilización por terceros identificados de sus cookies y las finalidades del tratamiento de datos asociado a ellas. Dichas obligaciones no se extienden, en cambio, a las fases ulteriores del tratamiento en las que el editor no interviene, que serán responsabilidad exclusiva del tercero. Por ejemplo, la responsabilidad no se extendería a los tratamientos de datos realizados ulteriormente por terceros con la finalidad de que éstos puedan ofrecer servicios de creación de audiencias, perfiles o similares (elaborados a partir del tratamiento de datos obtenidos mediante cookies), ni podrá presumirse la responsabilidad en la elaboración de tales audiencias o perfiles por el hecho de que se utilicen. En cualquier caso, la responsabilidad administrativa exigible ante las autoridades de control por el cumplimiento de las obligaciones derivadas del uso de cookies corresponde a cada parte obligada y no es desplazable contractualmente.

ANEXO

PARTES INTERVINIENTES

En los procesos de publicidad programática intervienen multiplicidad de actores o agentes, entre los que se incluyen algunas herramientas tecnológicas, como los ad exchanges o las demand side platforms (DSP). La siguiente figura contiene un gráfico con los principales agentes que intervienen en la compra digital de publicidad programática (aunque no todos necesariamente deben estar presentes):

politica-cookies-anexo

 

I. Usuario

Es el destinatario, persona física, que accede al servicio prestado por un editor, pudiendo diferenciarse entre usuario registrado y no registrado. No obstante utilizarse, en la normativa legal, el término destinatario del servicio, en la presente guía se emplea el término usuario, por ser éste de uso más común.

II. Agente vendedor: Editor o soporte

Es cualquier entidad prestadora de servicios de la sociedad de la información titular de una página web a los que puede acceder un usuario y para cuya prestación se utilizan cookies. Por ejemplo, éste sería el caso del titular de una carpintería o de una pescadería que disponga de una página web a través de la cual ofrezca simplemente información relacionada con los servicios que presta o disponga de una tienda on-line a través de la cual se puedan efectuar transacciones comerciales o haya creado una aplicación para móviles para cuyo funcionamiento puede ser necesario la utilización de cookies. Algunos editores, o soportes, también conocidos como publishers, además de prestar un servicio a los usuarios ofertan, actuando como soportes, por si mismos o con la ayuda de uno o varios terceros, espacios publicitarios a los anunciantes para cuya gestión es necesaria la utilización de cookies. Éste sería, por ejemplo, el caso de una revista o de un medio de comunicación que presta a los usuarios un servicio de información a través de una página o una aplicación móvil y, a su vez, ofrece junto a esta información publicidad sobre los servicios, productos o imagen de uno o varios anunciantes. A la luz de esta definición se puede observar el doble papel o función que puede desarrollar un editor. Actúa como prestador de un servicio al usuario, para cuya prestación puede ser necesaria la utilización de cookies. Cuando actúa como soporte, puede además ofertar a los anunciantes espacios publicitarios que estarán gestionados bien por él mismo, o bien por una o más entidades simultáneamente, mediante el uso tecnologías que pueden requerir el uso de cookies para su funcionamiento. De esta manera es el soporte el que presenta la publicidad al usuario (interesado) a través de los espacios publicitarios que dispone, cuyo conjunto se denomina “inventario publicitario”. El soporte comercializa el inventario publicitario a través de los siguientes agentes: • Redes publicitarias. • Supply side platform (SSP)26 . • Agencias y/o anunciantes mediante acuerdos directos accediendo a los ad servers27 de los mismos (o servidor de anuncios ― ordenador que almacena los anuncios y los sirve al editor―). Las cookies publicitarias que se instalan en el navegador del usuario pueden provenir de los siguientes agentes: • Supply side platform (SSP). • Anunciantes, agencias y sus ad servers o servidor de anuncios o sus DMP. • Ad exchanges (lugar donde se unen oferta y demanda para realizar transacciones comerciales de compra y venta, donde los anunciantes y los soportes/editores se ponen en contacto).

III. Anunciante

Es la entidad cuyos productos, servicios o imagen se publicitan a través de los espacios publicitarios de los que disponen, en su caso, los editores en sus páginas u otras aplicaciones desde las que prestan los servicios a los usuarios. En este sentido, actúa como demandante de espacios publicitarios. Frecuentemente, el editor también suele actuar como anunciante. En estos casos, el editor actúa como anunciante desde el momento en que para realizar publicidad del servicio que presta a los usuarios se sirve de los espacios publicitarios que ponen a su disposición otros editores. Este sería el caso, por ejemplo, en el que el titular de una carpintería o de una pescadería, cuando además de actuar como editor de su propia página web desde la que presta el servicio, actúa como anunciante al contratar la difusión publicitaria de sus productos o servicios directamente con otro editor, editores o, indirectamente, con una red publicitaria.

IV. Agentes compradores

Son los agentes interesados en la difusión de la publicidad. Son los que determinan el presupuesto total que van a emplear en una campaña publicitaria, definen el público objetivo y proporcionan los materiales creativos. En referencia a la compra programática, son los que estipulan el precio de puja mínimo que están dispuestos a pagar por impresión.

Su intervención puede ser: • a través de una agencia de medios

  • de forma directa tratando con los SSPs
  • de forma directa tratando con los editores mediante los ad servers (o servidor de anuncios)
  • esta función se puede llevar a cabo por diferentes actores

V. Intermediarios en el modelo

a) Plataforma de gestión del consentimiento (consent magement platform o CMP) Una CMP es una herramienta que se instala en el soporte del editor, página web o aplicación, y permite que cualquier responsable de la utilización de cookies cumpla sus deberes de información y recogida de consentimiento. Para que una CMP sea válida es necesario que permita a las entidades que la utilizan, tanto editores como otros agentes, cumplir los requisitos que establece la normativa en los términos que se establecen en esta guía. En particular, deberá crearse un entorno coordinado y coherente en el que, mediante la articulación de acuerdos o marcos contractuales, editores y terceros estén obligados a:

  • Cumplir los requisitos de transparencia frente a los usuarios.
  • Obtener un consentimiento válido de los usuarios.
  • Respetar ulteriormente las opciones de consentimiento de los usuarios y permitir la gestión de esos consentimientos, incluida su revocación.

Estas plataformas deberán estar sometidas a auditorías o revisiones que validen el cumplimiento de los referidos requisitos.

b) Agencias de publicidad y agencias de medios

Son entidades que se encargan del diseño y ejecución de publicidad, así como de la creación, preparación o programación de las campañas publicitarias de los anunciantes, actuando en nombre y por cuenta de estos en la compra de espacios publicitarios. En este sentido, también se les puede considerar como demandantes de espacios publicitarios para los anunciantes.

c) Redes publicitarias o ad networks

Son un conjunto de entidades que, actuando en nombre y representación directa o indirectamente de uno o varios editores, ofrecen, también directamente a los anunciantes o, indirectamente a través otros demandantes, como las agencias de publicidad, la posibilidad de obtener espacios publicitarios o algún tipo de resultado concreto como clics, ventas o registros, a través de la gestión y tratamiento de los datos obtenidos de la utilización de las cookies descargadas o almacenadas en los equipos terminales de los usuarios, cuando éstos acceden a los servicios prestados por el editor. La finalidad de la labor de estas entidades es llevar a cabo, de la mejor manera posible, la gestión del inventario de espacios publicitarios, cuya titularidad, corresponde a los editores, de forma que converja con la demanda de los anunciantes (venden el espacio publicitario de los editores). Es el editor quien decide si la totalidad o parte del inventario, del que dispone, es gestionado por una entidad en exclusiva o por varias entidades simultáneamente en función de los criterios que establezca. Este tipo de entidades suelen realizar una agregación de la oferta de los espacios publicitarios y de los inventarios de varios editores. También pueden comprar inventario de distintos editores para las campañas publicitarias que realizan las agencias de publicidad. Algunas de estas entidades recaban, mediante las cookies que gestionan, información de los hábitos de navegación de los usuarios que acceden a los servicios o páginas ofrecidos por cualquiera de los editores a quienes representan. Los datos son recabados con la finalidad de que la difusión de las piezas publicitarias de los anunciantes sea lo más eficiente posible. Para ello analizan los hábitos de los usuarios en Internet con el fin de ofrecerles la publicidad más adecuada a los intereses asociados a su perfil de navegación. Este tipo de entidades actúan en el lado de la oferta, como ofertantes de espacios, en nombre y representación, directa o indirectamente de uno o varios editores. A pesar de que este tipo de entidades muestran a sus clientes de manera agregada los datos obtenidos como resultado de la utilización de las cookies, será necesario informar y obtener el consentimiento de los usuarios para la recogida de dichos datos y su agregación y tratamiento posterior con la finalidad de gestionar la oferta de los espacios de los editores. Generalmente se realizará desde la página web de los editores que usen este tipo de cookies propias o de terceros. Para llevar a cabo la gestión de estos espacios publicitarios de la forma más eficaz posible se emplean diferentes tipos de equipos, tecnologías, programas o aplicaciones de gestión, como ad servers, ad exchanges, etc. que tratan en tiempo real los datos obtenidos, de forma que las piezas publicitarias de los anunciantes se incluyen en los espacios publicitarios de los editores de forma automática en función de los criterios que se establezcan en cada caso. Finalmente, también es necesario señalar que es frecuente que esta labor de gestión sea subcontratada de forma total o parcial a otras empresas especializadas en el desarrollo de las actuaciones necesarias para la gestión de los espacios publicitarios.

d) Trading desk

Es el equipo técnico de personas dentro (o fuera, puede ser independiente) de una agencia de medios que a través de la conexión con múltiples DSP (tecnología de puja que permite a anunciantes y/o agencias de medios comprar inventario en diferentes ad exchanges ―lugares donde se unen oferta y demanda―), optimizan la compra programática de los anunciantes.

Los anunciantes también tienen trading desk. Generalmente, el trading desk está enfocado hacia la compra inteligente de audiencias mediante tecnologías de optimización en múltiples plataformas (ad exchanges, networks, DSPs, soportes) de manera tal, que comprará aquella impresión de manera más eficiente para los objetivos de sus clientes/anunciantes.

VI. El modelo de subasta

a) Supply side platform (SSP)

Son plataformas tecnológicas publicitarias que permiten conectar un inventario a diversos ad exchanges.

b) Ad exchange

Ad exchange es el lugar donde se unen oferta y demanda para realizar transacciones comerciales de compra y venta, donde los anunciantes y los soportes se ponen en contacto. Los soportes ofrecen y gestionan sus espacios publicitarios y los anunciantes crean y gestionan sus campañas. Los ad exchanges proveen de una plataforma tecnológica que facilita la automatización de las subastas basadas en precio y las compras en tiempo real, lo que conocemos como RTB (real time bidding). Así pues, el principio de funcionamiento de un ad exchange es la puja en tiempo real. Algunos, por ejemplo, conectan las redes publicitarias, las agencias y las plataformas orientadas a la demanda de terceros con un amplio inventario global en tiempo real. Los ad exchanges instalan cookies en el usuario, y algunos, las cifran o realizan hash cuando las remiten a los DSP asociado con ellos para evitar que las cookies fijadas por las redes de anunciantes se filtren a terceros.

c) Demand side platform (DSP)

Un DSP es una tecnología de puja que permite a anunciantes y/o agencias de medios comprar inventario en diferentes ad exchanges. Los DSPs también conocidos como bidders:

  • Evalúan el valor de cada impresión.
  • Optimizan el precio de puja utilizando los datos de la audiencia.
  • Pujan por el inventario.

De esta forma, la compra se hace impresión a impresión, esto se conoce con la terminología “puja en tiempo real” (o “real-time bidding”, en inglés). Un DSP tiene una interfaz única que permite pujar, optimizar y obtener informes. El DSP no puede acceder a las cookies del usuario hasta que contacte con el mismo, y eso no podrá hacerlo sin ganar la subasta del espacio, por eso los ad exchange y anunciantes utilizan la cookie matching o cookie syncing.

VII. Empresas de análisis y medición

Son entidades que miden y/o analizan la navegación de los usuarios en la página web de un editor y su comportamiento con cualquiera de sus elementos o con la publicidad, a través del análisis de los datos obtenidos con la utilización de las cookies. Generalmente para la prestación de este tipo de servicios se utilizan lo que se denominan “cookies de terceros”, es decir, cookies que son enviadas al equipo terminal del usuario no desde un equipo o dominio gestionado y controlado por el editor sino desde un equipo o dominio gestionado por la propia entidad que realiza el análisis de los datos.

Dada la multiplicidad de entidades intervinientes corresponderá a cada una analizar la labor que desarrolla para posicionarse en uno u otro papel de cara a la determinación de la responsabilidad en la que incurren y al cumplimiento de las obligaciones establecidas en la normativa y desarrolladas en la presente guía.

VIII. Los proveedores de la información: data management platform (DMP)

Un data management platform (DMP) o plataforma de gestión de datos es una plataforma tecnológica que recoge, almacena y empaqueta o agrupa y transfiere datos de consumidores y usuarios que recibe de diferentes fuentes o proveedores de datos. El DMP puede categorizar los datos de consumidores y usuarios a través de una fuente de datos externa sociodemográfica e intereses según su navegación (3rd party data). El DMP puede ser de agencia, de cliente o externalizada. Hay ocasiones en las que el DMP puede tomar decisiones sobre los datos personales.