A continuación, os informamos que la Agencia Española de Protección de Datos ha publicado recientemente una nueva guía sobre el uso de las cookies para herramientas de medición de audiencia.
Herramientas de medición de audiencia y cookies:
Para gestionar un sitio web o una aplicación móvil por parte de un editor se necesita generalmente el uso de estadísticas de tráfico o de rendimiento, que a menudo son esenciales para la prestación del servicio. Las cookies (dispositivos de almacenamiento y recuperación de datos) se utilizan, entre otras soluciones técnicas, para recabar la información necesaria para elaborar dichas estadísticas.
La información que se trata mediante el uso de cookies puede ser gestionada por el editor o por un proveedor de servicio de medición comparativa de audiencia (encargado de tratamiento del editor/es)
¿Qué dice la AEPD sobre estas cookies utilizadas para obtener estadísticas de tráfico o de rendimiento?
La AEPD dice que podrían estar exentas de consentimiento bajo ciertas condiciones. Es decir, que no haría falta que los usuarios acepten su uso para ser utilizadas.
¿Qué condiciones deben reunir estas cookies para estar exentas de consentimiento?
• Deben tener una finalidad estrictamente limitada a la medición exclusiva de la audiencia del sitio o de la aplicación.
• Ese tratamiento debe ser realizado en nombre exclusivo del editor web
• Deben ser utilizadas para producir datos estadísticos anónimos únicamente.
• No deben dar lugar a que los datos se cotejen con otras operaciones de tratamiento o a que los datos se transmitan a terceros.
• No deben permitir el seguimiento agregado de la navegación de la persona que utiliza diferentes aplicaciones o navega por diferentes sitios web. se excluye, por tanto, cualquier solución que utilice el mismo identificador en varios sitios (por ejemplo, a través de cookies colocadas en un dominio de terceros cargado por varios sitios) para hacer referencias cruzadas, duplicar o medir una tasa de alcance unificada de un contenido.
• Servicios de analítica y medición de audiencia implementados por el propio editor o por proveedores no entran dentro de la exención cuando declaran que reutilizan los datos para otras finalidades.
¿Qué mediciones son estrictamente necesarias para la correcta administración de un sitio web según la AEPD?
• Medición de audiencia, página por página;
• La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual (a veces llamada «referente»), ya sea interna o externa al sitio, por página y agregada diariamente;
• Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente;
• Estadísticas de tiempo de carga de la página, por página y agregadas por hora;
• Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente.
• Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente;
• Estadísticas sobre la zona geográfica de origen de las solicitudes, por página y agregadas diariamente.
Cualquier otro tratamiento de datos más allá de estos listados tanto del editor como por el proveedor ha de contar con el consentimiento del interesado para ser considerado lícito.
Una vez determinadas las cookies exentas, además, deben contar con estas garantías:
A) Garantías mínimas:
1) Los usuarios serán informados de la utilización de estas cookies o tecnologías similares consideradas exentas con el propósito de
medición de audiencias, por ejemplo, a través de la política de privacidad del sitio o la Aplicación móvil;
2) La vida útil de estas cookies o tecnologías similares se limitará a un período que permita una comparación significativa de audiencias a lo largo del tiempo, como es el caso de una duración de 13 meses, y que no se extenderá automáticamente en nuevas visitas;
3) La información recopilada a través de estas cookies o tecnologías similares se conservará durante un período máximo de 25 meses;
4) La vida útil y periodo de conservación mencionados anteriormente estará sujetas a revisión periódica para limitarse a lo estrictamente necesario.
B) Cuando se recurre a un proveedor de servicios de medición de audiencia que da servicio a varios editores, debe ofrecer estas garantías al editor:
1) Los datos se recopilan, procesan y almacenan de formaindependiente para cada editor; y
2) Las cookies o tecnologías similares utilizadas son completamente independientes las unas de las otras y de cualquier otra cookie o tecnología similar.
C) Garantías adicionales cuando el editor recurre a un proveedor de servicios de medición de audiencia
1) Tener con el proveedor un compromiso contractual que cumpla los requisitos del artículo 28 del RGPD en el que se explicite:
a) La obligación de no reutilizar los datos recopilados en ningún caso, en el marco del contrato.
b) Restringir el tratamiento de los datos a los propósitos establecidos anteriormente como estrictamente necesarios.
c) Cumplir con las garantías establecidas para el caso de dar servicio a múltiples editores.
d) Que toda transferencia de datos fuera de la Unión Europea
cumple con las condiciones de cumplimiento establecidas en el RGPD.
2) Realizar y documentar una evaluación, por sí mismo o por un tercero independiente, de si es posible configurar, y están configuradas, las herramientas proporcionadas por el proveedor para garantizar el cumplimiento de los requisitos enumerados en el apartado anterior.
¿Qué debo hacer a partir de esta nueva guía?
Revisar si vuestra web dispone de cookies de medición de audiencia que cumplan las características indicadas. Es un buen momento para reflexionar sobre qué cookies o herramientas de medición tenéis implementadas y verificar si las necesitáis realmente, es decir, si estáis utilizando todas sus funcionalidades, porque en caso contrario, el primer paso sería no utilizarlas y optar por herramientas de medición propias (o de terceros) pero asegurándoos que cumplen los requisitos indicados por la AEPD en esta nueva guía. Si es el caso de que utilizáis las herramientas de medición con las características indicadas, y siempre que cumpláis con las garantías indicadas por la AEPD y comentadas en el anterior apartado, ya no será necesario pedir permiso a los usuarios para la utilización de estas cookies concretas, simplemente se les informará de su utilización.
Es un buen momento también para que verifiquéis que la información sobre cookies y los sistemas de consentimiento / rechazo de las mismas que tenéis en vuestra web (banner, panel de configuración y política de cookies) se ajusta a los criterios de la AEPD y que resultan exigibles desde el pasado 11 de enero de 2024.
Las cookies (dispositivos de almacenamiento y recuperación de datos) se utilizan, entre otras soluciones técnicas, para recabar la información necesaria para elaborar dichas estadísticas.
La información que se trata mediante el uso de cookies puede ser gestionada por el editor o por un proveedor de servicio de medición comparativa de audiencia (encargado de tratamiento del editor/es).
¿Qué dice la AEPD sobre estas cookies utilizadas para obtener estadísticas de tráfico o de rendimiento?
La AEPD dice que podrían estar exentas de consentimiento bajo ciertas condiciones. Es decir, que no haría falta que los usuarios acepten su uso para ser utilizadas.
¿Qué condiciones deben reunir estas cookies para estar exentas de consentimiento?
• Deben tener una finalidad estrictamente limitada a la medición exclusiva de la audiencia del sitio o de la aplicación.
• Ese tratamiento debe ser realizado en nombre exclusivo del editor web
• Deben ser utilizadas para producir datos estadísticos anónimos únicamente.
• No deben dar lugar a que los datos se cotejen con otras operaciones de tratamiento o a que los datos se transmitan a terceros.
• No deben permitir el seguimiento agregado de la navegación de la persona que utiliza diferentes aplicaciones o navega por diferentes sitios web. se excluye, por tanto, cualquier solución que utilice el mismo identificador en varios sitios (por ejemplo, a través de cookies colocadas en un dominio de terceros cargado por varios sitios) para hacer referencias cruzadas, duplicar o medir una tasa de alcance unificada de un contenido.
• Servicios de analítica y medición de audiencia implementados por el propio editor o por proveedores no entran dentro de la exención cuando declaran que reutilizan los datos para otras finalidades.
¿Qué mediciones son estrictamente necesarias para la correcta administración de un sitio web según la AEPD?
• Medición de audiencia, página por página;
• La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual (a veces llamada «referente»), ya sea interna o externa al sitio, por página y agregada diariamente;
• Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente;
• Estadísticas de tiempo de carga de la página, por página y agregadas por hora;
• Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente.
• Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente;
• Estadísticas sobre la zona geográfica de origen de las solicitudes, por página y agregadas diariamente.
Cualquier otro tratamiento de datos más allá de estos listados tanto del editor como por el proveedor ha de contar con el consentimiento del interesado para ser considerado lícito.
Una vez determinadas las cookies exentas, además, deben contar con estas garantías:
A) Garantías mínimas:
1) Los usuarios serán informados de la utilización de estas cookies o tecnologías similares consideradas exentas con el propósito de medición de audiencias, por ejemplo, a través de la política de privacidad del sitio o la Aplicación móvil;
2) La vida útil de estas cookies o tecnologías similares se limitará a un período que permita una comparación significativa de audiencias a lo largo del tiempo, como es el caso de una duración de 13 meses, y que no se extenderá automáticamente en nuevas visitas;
3) La información recopilada a través de estas cookies o tecnologías similares se conservará durante un período máximo de 25 meses;
4) La vida útil y periodo de conservación mencionados anteriormente estará sujetas a revisión periódica para limitarse a lo estrictamente necesario.
B) Cuando se recurre a un proveedor de servicios de medición de audiencia que da servicio a varios editores, debe ofrecer estas garantías al editor:
1) Los datos se recopilan, procesan y almacenan de forma independiente para cada editor; y
2) Las cookies o tecnologías similares utilizadas son completamente independientes las unas de las otras y de cualquier otra cookie o tecnología similar.
C) Garantías adicionales cuando el editor recurre a un proveedor de servicios de medición de audiencia
1) Tener con el proveedor un compromiso contractual que cumpla los requisitos del artículo 28 del RGPD en el que se explicite:
a) La obligación de no reutilizar los datos recopilados en ningún caso, en el marco del contrato.
b) Restringir el tratamiento de los datos a los propósitos establecidos anteriormente como estrictamente necesarios.
c) Cumplir con las garantías establecidas para el caso de dar servicio a múltiples editores.
d) Que toda transferencia de datos fuera de la Unión Europea cumple con las condiciones de cumplimiento establecidas en el RGPD.
2) Realizar y documentar una evaluación, por sí mismo o por un tercero independiente, de si es posible configurar, y están configuradas, las herramientas proporcionadas por el proveedor
para garantizar el cumplimiento de los requisitos enumerados en el apartado anterior.
¿Qué debo hacer a partir de esta nueva guía?
Revisar si vuestra web dispone de cookies de medición de audiencia que cumplan las características indicadas. Es un buen momento para reflexionar sobre qué cookies o herramientas de medición tenéis implementadas y verificar si las necesitáis realmente, es decir, si estáis utilizando todas sus funcionalidades, porque en caso contrario, el primer paso sería no utilizarlas y optar por herramientas de medición propias (o de terceros) pero asegurándose que cumplen los requisitos indicados por la AEPD en esta nueva guía. Si es el caso de que utilizáis las herramientas de medición con las características indicadas, y siempre que cumpláis con las garantías indicadas por la AEPD y comentadas en el anterior apartado, ya no será necesario pedir permiso a los usuarios para la utilización de estas cookies concretas, simplemente se les informará de su utilización.
Es un buen momento también para que verifiquéis que la información sobre cookies y los sistemas de consentimiento / rechazo de las mismas que tenéis en vuestra web (banner, panel de configuración y política de cookies) se ajusta a los criterios de la AEPD y que resultan exigibles desde el pasado 11 de enero de 2024.
Esta guía complementa la anterior publicada en Julio del pasado año, quedando completamente actualizada en el siguiente enlace:
https://www.aepd.es/guias/guia-cookies.pdf.
https://www.aepd.es/guias/guia-cookies-analiticas-externas.pdf