Guia definitiva sobre la normativa de cookies de l'AEPD 2024

Si tens un lloc web, és crucial que estiguis al corrent d’aquestes normatives per mantenir el teu lloc alineat amb les lleis de privadesa i protecció de dades. Fem-ho fàcil i entenedor!

Introducció a la normativa AEPD sobre cookies

Les cookies són aquells petits elements que fan que la teva navegació web sigui més personalitzada. Però sabies que hi ha una normativa que en regula l’ús? Doncs sí! L’AEPD a Espanya vetlla perquè la teva privacitat sigui respectada. Complir amb aquestes normes no és només una obligació legal, sinó un compromís amb la transparència i la confiança dels teus usuaris.

Què són les cookies i com funcionen?

Les cookies són petits fitxers de text que els llocs web envien al dispositiu de l’usuari per emmagatzemar informació sobre la seva navegació. Aquesta informació pot incloure preferències d’idioma, dades de sessió i detalls que milloren l’experiència de navegació.

Les cookies són essencials per al funcionament del web, permetent personalitzar l’experiència de l’usuari i recollir dades analítiques.

És important complir la normativa de l’AEPD al meu lloc web?

Complir amb la normativa AEPD sobre cookies no només és una obligació legal per als propietaris de llocs web a Espanya, sinó que també és crucial per garantir la privacitat i protecció de les dades dels usuaris. L’Agència Espanyola de Protecció de Dades (AEPD) estableix directrius clares sobre l’ús de cookies, assegurant que els usuaris estiguin informats i hagin donat el seu consentiment explícit, millorant així la transparència i la confiança en l’ecosistema digital.

Classificació de les cookies segons l’AEPD i la normativa

No totes les cookies són iguals. Depenent de diversos factors, la normativa les classifica de diferents formes. A continuació t’expliquem aquesta classificació i les seves diferències:

Cookies pròpies vs. cookies de tercers

Cookies pròpies:

Són aquelles gestionades directament per l’editor del lloc web visitat, nosaltres. Aquestes cookies són essencials per a funcions bàsiques del lloc i l’experiència de l’usuari.

Cookies de tercers:

Enviades per entitats diferents de l’editor del lloc web, s’utilitzen per recollir informació sobre el comportament de l’usuari en diversos llocs web, facilitant serveis com la publicitat personalitzada, per exemple, les cookies de Google ADS.

Tipus de cookies segons la finalitat

Depenent de l’ús que es doni a les dades obtingudes per les cookies, podem definir la següent classificació:

Cookies tècniques

Necessàries per a la navegació i el bon funcionament del lloc web. Aquestes cookies permeten controlar el trànsit, identificar sessions i accedir a parts restringides.

Cookies de preferències o personalització

Permeten que el lloc web recordi informació que canvia l’aspecte o el comportament del lloc segons les preferències de l’usuari, com l’idioma o la regió.

Cookies d’anàlisi o de mesura

Recullen dades sobre l’activitat de l’usuari al lloc web, permetent fer anàlisis estadístiques per millorar els serveis oferts. Un bon exemple seria l’ús de cookies de Google Analytics per veure què passa al nostre web.

Cookies de publicitat comportamental

Emmagatzemen informació sobre els hàbits de navegació de l’usuari, mostrant publicitat personalitzada basada en aquests hàbits. Això es pot veure en webs que tenen campanyes de remarketing mitjançant Google Ads o amb el píxel de Facebook per mostrar contingut relacionat a una audiència concreta mitjançant campanyes de Paid Ads.

Duració de les cookies: de sessió vs. persistents

Un altre factor a tenir en compte és quant temps duren les cookies al dispositiu de l’usuari que visita el web. Depenent d’això, tenim dos tipus clarament definits:

Cookies de sessió

Es eliminen automàticament quan l’usuari tanca el navegador. Són temporals i útils per recordar activitats durant la navegació.

Cookies persistents

Romanen al dispositiu de l’usuari durant un període determinat, permetent recordar preferències en futures visites.

Requisits de transparència i consentiment segons l’AEPD

Ara que ja sabem tota aquesta informació tècnica sobre què són i com es classifiquen les cookies, és important conèixer les nostres obligacions si tenim cookies al nostre lloc web.

Per això, cal seguir la normativa per no passar per alt cap aspecte important que pugui perjudicar-nos.

Informació obligatòria sobre l’ús de cookies: cal informar els usuaris

Els propietaris dels webs han de proporcionar informació clara i completa sobre l’ús de cookies, incloent-ne la definició, funció i finalitat.

Això implica detallar els tipus de cookies utilitzades (tècniques, de personalització, d’anàlisi, etc.) i com poden els usuaris acceptar-les, rebutjar-les o revocar el seu consentiment.

Com obtenir un consentiment adequat

Perquè el consentiment per a l’ús de cookies no exceptuades sigui vàlid, ha de ser lliure, informat, específic i explícit.

Això vol dir que els usuaris han de tenir l’opció d’acceptar o rebutjar l’ús de cookies, excepte les estrictament necessàries pel funcionament del lloc.

El consentiment només és vàlid si es recull mitjançant una acció afirmativa de l’usuari, com ara seleccionar “Acceptar” en un bàner de cookies.

Actualització i revocació del consentiment. Què passa si l’usuari canvia d’opinió?

Hem de tenir en compte que, com a responsables d’un lloc web, hem de facilitar als usuaris la possibilitat de modificar les seves preferències de cookies en qualsevol moment, així com revocar el consentiment prèviament atorgat.

És important que aquesta opció sigui fàcilment accessible. I no ens podem oblidar que, si fem canvis significatius en l’ús de les cookies, haurem de sol·licitar de nou el consentiment.

Responsabilitats en l’ús de cookies, descobreix a qui pertanyen.

Ara emprendrem un viatge junts per entendre millor qui és qui en el món de les cookies i com es reparteixen les responsabilitats.

La gestió de les cookies involucra diversos actors, incloent els propietaris dels llocs web (editors) i tercers (per exemple, proveïdors de serveis d’anàlisi o publicitat).

Ambdós tenen responsabilitats clares pel que fa a la informació proporcionada als usuaris i a l’obtenció del consentiment.

Els dos tipus de finalitats en les cookies

• Cookies amb finalitats exceptuades: No requereixen consentiment, però cal informar del seu ús.
• Cookies amb finalitats no exceptuades: Requereixen que tant els editors com els tercers involucrats informin adequadament del seu ús i obtinguin el consentiment necessari.

La importància del disseny i estructura dels Avisos de Cookies

No només és important saber quines cookies tenim al nostre lloc web, una altra part crucial és com demanem el consentiment a l’usuari. En aquest apartat, la llei ho té clar: el client ha de saber què està acceptant.

Per aquesta raó, a continuació, et donem els inputs necessaris perquè el teu avís de cookies compleixi totes les normatives.

Les claus per a un avís efectiu i conforme a la llei

Els avisos de cookies han de ser:

• Visibles.
• Accesibles.
• Dissenyats de manera que no indueixin l’usuari a donar consentiment de manera inadvertida.

El disseny ha de facilitar la comprensió i la gestió del consentiment de forma equitativa entre les opcions d’acceptar i rebutjar.

Pràctiques incorrectes i com evitar-les

És crucial evitar pràctiques com l’absència d’un botó clar de rebuig, l’ús de caixes pre-marcades, o un disseny que dificulti l’opció de rebutjar les cookies.

Aquestes pràctiques poden considerar-se enganyoses i no compleixen amb els requisits d’un consentiment vàlid.

Implementació pràctica per al teu bàner de cookies

Si has arribat fins aquí, et facilitarem, de manera visual i senzilla, els millors exemples per tenir un bàner que compleixi la normativa i no morir en l’intent.

Llista totes les teves cookies segons el tipus i la finalitat.

Per garantir el compliment de la normativa sobre cookies, els propietaris de llocs web hem de seguir diversos passos pràctics.

Això inclou fer un llistat de totes les cookies utilitzades al nostre web, classificar-les segons tipus i finalitat, i assegurar-nos que la informació proporcionada als usuaris sigui clara i completa.

També és essencial implementar un mecanisme efectiu que permeti als usuaris expressar el seu consentiment de manera informada i lliure.

Exemples i bones pràctiques per implementar el consentiment de cookies

El més recomanable és aplicar un enfocament de "informació per capes", una de les pràctiques més recomanades.

Això implica mostrar una primera capa amb informació bàsica i essencial al bàner de cookies, amb opcions per acceptar o configurar preferències, seguida d’una segona capa amb informació més detallada accessible mitjançant un enllaç.

Això ajuda a no saturar l’usuari amb informació i alhora garantir que tingui accés fàcil a tots els detalls necessaris per prendre una decisió informada i conscient.

A continuació, et deixem un llistat de pràctiques no permeses extretes del document "Report of the work undertaken by the Cookie Banner Taskforce", adoptat el 17 de gener de 2023:

Aquest document ens aporta una classificació de pràctiques extretes de webs que no compleixen la normativa:

• Tipus A: Absència de botó de rebuig a la primera capa del bàner, considerat per la majoria com una infracció en no complir amb els requisits de consentiment vàlid.

• Tipus B: Caixes pre-marcades, confirmades com a no vàlides per obtenir consentiment segons el RGPD i la Directiva ePrivacy.

• Tipus C: Disseny enganyós dels enllaços per rebutjar cookies, que han de ser clars i no pressionar l’usuari a acceptar.

• Tipus D i E: Colors i contrastos enganyosos en els botons, que poden destacar indegudament l’opció d’acceptar totes les cookies. Cal una anàlisi cas per cas.

• Tipus H: Suposar un interès legítim per a certes operacions de tractament, pot confondre els usuaris respecte als seus drets d’oposició.

• Tipus I: Classificació incorrecta de cookies com a "essencials", destacant la dificultat pràctica de determinar quines realment ho són.
• Tipus K: Absència d’un icona per retirar el consentiment. Es recomana que els llocs web ofereixin solucions accessibles perquè els usuaris puguin retirar el seu consentiment en qualsevol moment.

Importància de les CMP (Plataformes de Gestió del Consentiment)

Les Plataformes de Gestió del Consentiment (CMP) faciliten el compliment de la normativa de cookies de manera senzilla i eficient.

Permeten als propietaris dels llocs web gestionar les preferències de consentiment dels usuaris de forma transparent, assegurant que el consentiment es reculli i registri segons els requisits legals.

La implementació d’una CMP adequada pot simplificar molt el procés de compliment i millorar l’experiència d’usuari.

Alguns dels serveis de CMP més populars i avalats per Google són:

• Plugin de WordPress Complianz: permet gestionar sol·licituds de dades, suporta el mode de consentiment de Google V2, i ofereix plantilles CSS i HTML personalitzades, entre altres opcions.
• Cookiebot: permet implementació via script o plugin per WordPress. Té més d’1 milió d’usuaris actius i suport multilingüe.
• CookieYes: la nostra plataforma de confiança, permet gestionar diversos dominis des d’un panell, i amb un simple script inserit al capçal, es pot personalitzar fàcilment l’estil del bàner.
• One Trust: Similar a les anteriors, usada per grans marques, amb panell propi i assistència ràpida. Tot i això, afegeix encapçalaments a les pàgines que poden afectar el SEO.

Cal destacar que la llista oficial compta amb més de 40 CMP validades per Google, així que tens la llibertat de revisar-les i escollir la que més et convingui.

Quin és el marc legal del compliment de les cookies?

Et preguntaràs d’on surten totes aquestes directrius i a quines normatives i lleis corresponen. Si ets dels que tenen temps i vols conèixer tot el marc legal sobre l’ús de cookies, pots llegir les següents lleis i reglaments:

Llei 34/2002 (LSSI)

La Llei de Serveis de la Societat de la Informació i de Comerç Electrònic regula els aspectes legals de l’economia digital a Espanya, incloent l’ús de cookies. Exigeix que els usuaris donin el seu consentiment després de rebre informació clara i completa.

Reglament (UE) 2016/679 (RGPD)

El Reglament General de Protecció de Dades estableix el marc de protecció de dades a la UE. Afecta l’ús de cookies exigint que qualsevol dada personal recollida compleixi els principis de consentiment i protecció.

Llei Orgànica 3/2018 (LOPDGDD)

La Llei Orgànica de Protecció de Dades Personals i garantia dels drets digitals adapta el RGPD a l’ordenament jurídic espanyol, i estableix normes específiques sobre el tractament de dades personals i ús de cookies.

En adherir-se a aquestes normatives, els propietaris dels llocs web no només compleixen amb les obligacions legals, sinó que també fomenten un entorn de confiança i seguretat digital.

I per acabar, molt important: recordeu que des de La Teva Web us oferim informació contrastada sobre els canvis legislatius, però la millor recomanació davant de dubtes és acudir a un servei jurídic especialitzat en protecció de dades en entorns digitals. No ens fem responsables de les conseqüències per l’ús d’aquesta guia.