La autoridad de control ha publicado una Guía que analiza la posibilidad de utilizar e instalar tecnologías (como, por ejemplo, cookies) que tienen como finalidad “obtener estadísticas de tráfico o de rendimiento” sin necesidad de recabar el consentimiento expreso de los usuarios de las páginas web.
Así, de acuerdo con lo dispuesto en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, para que no sea necesario recabar dicho consentimiento, estas cookies (o tecnologías similares) “deben tener una finalidad estrictamente limitada a la medición exclusiva de la audiencia del sitio o de la aplicación”, sin que se puedan comparar con otros tratamientos, ni remitir la información a terceros. Esta tecnología, que no ha sido consentida, no puede permitir que el responsable lleve a cabo un seguimiento agregado de la navegación del usuario que navega por diferentes páginas web. En aquellos supuestos en los que se utilicen estos datos para otras finalidades, no resulta aplicable esta exención y será necesario recabar el consentimiento expreso.
En su Guía, la AEPD recoge diferentes mediciones que considera que son las únicas estrictamente necesarias para la correcta administración de una web (no siendo necesario el consentimiento del usuario, ya que en caso de que se lleve a cabo otro tratamiento de datos diferente a los recogidos en el citado listado, sí se deberá contar con el consentimiento de los interesados), entre las que se pueden destacar, la “medición de audiencia, página por página”; “La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual” por página y agregadas diariamente; el análisis del “tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente” o las “estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente”.
Adicionalmente, se expone en la Guía que, al utilizar estas tecnologías para la medición de la audiencia sin el consentimiento, se deben implementar diversas garantías, como, por ejemplo, facilitar la información a los usuarios sobre la instalación de estas cookies, limitar el periodo de su vida útil (a trece meses) o conservar la información recabada “durante un período máximo de veinticinco meses”.
Así, si el responsable contrata los servicios de medición de audiencias a un proveedora que, a su vez, da servicio a otros responsables, se debe garantizar por este que los datos se tratan de forma independiente para cada uno de ellos, así como que dichas tecnologías también son independientes “las unas de las otras”. Adicionalmente, se deberá suscribir el correspondiente contrato de encargado del tratamiento con el citado proveedor y llevar a cabo una evaluación que permita analizar si es posible configurar “las herramientas proporcionadas por el proveedor para garantizar el cumplimiento de los requisitos” exigidos por la AEPD.
Puede acceder a la Guía publicada por la autoridad de control aquí.