Sesiones web permanentes y RGPD

Es importante configurar correctamente las cookies

Una sesión (al igual que una cookie) crea un archivo donde se guardarán los datos del usuario. Sin embargo, en el caso de las sesiones, los archivos se crean inicialmente en una carpeta del servidor del  proveedor, con un identificador único. Posteriormente, una cookie se envía automáticamente al cliente, para que guarde la cadena de identificación generada. De esta forma, el cliente queda asociado a su sesión.

Generalmente una sesión termina cuando el usuario cierra completamente el navegador, o si abandona el sitio por un periodo de tiempo de determinado (por ejemplo, tras 30 minutos o una hora). Sin embargo, en otras ocasiones las sesiones son permanentes, evitando con esto que el usuario tenga que loguearse cada vez que accede al sitio web. Esto convierte a la cookie enviada en una cookie de autentificación persistente, en la que los datos siguen almacenados y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, que puede llegar a varios años.

Hay que incluir un check para “Permanecer logueado”.

El Grupo de Trabajo sobre el Artículo 29 (GT29) explica claramente en el apartado 3.2 de su Dictamen 4/2012, sobre la exención del requisito de consentimiento de cookies, que las cookies persistentes que almacenan un token de autenticación durante las sesiones de navegación no están exentos del requisito de consentimiento. Remarca el GT29 que el usuario puede no ser consciente inmediatamente de que el hecho de cerrar el navegador no borra la configuración de su autenticación, volviendo al sitio web creyendo que son anónimos cuando en realidad siguen conectados al servicio.

De esta manera, las cookies persistentes de autentificación quedan incluidas en el ámbito de aplicación del artículo 22.2 de la LSSI y, por lo tanto, es necesario informar y obtener el consentimiento para su uso. Como método para recabar el consentimiento, el GT29 señala que utilizar una casilla de comprobación y una simple nota informativa como «recuerde (utiliza cookies)» junto al formulario sería un medio adecuado para obtener el consentimiento. A este respecto, no hay que pasar por alto la nota informativa a la que se refiere el grupo de trabajo, a los efectos de cumplir el requisito de informar suficientemente al usuario para recabar su consentimiento.

El consentimiento, fácil y sencillo.

Bajo ningún concepto el “check” para permanecer logueado puede estar preseleccionado por defecto. El RGPD dispone que el consentimiento debe darse mediante un acto afirmativo claro, por lo que las casillas ya marcadas no son actos validos de consentimiento. De igual manera, el silencio o la inacción tampoco dan lugar a un consentimiento válido, por lo que seguir navegando por la web no puede equipararse al consentimiento.

Los usuarios, tal y como explica la Guía sobre el uso de las Cookies publicada por la AEPD en aplicación del artículo 7.3 del RGPD, deberán poder retirar
el consentimiento previamente otorgado en cualquier momento. A tal fin, en la política de cookies de la web deberá informarse sobre cómo pueden retirar el consentimiento y eliminar las cookies. No está de más destacar que el sistema que se ofrezca para retirar el consentimiento debe ser tan fácil como el utilizado cuando se prestó, por ejemplo, mediante un acceso sencillo y permanente al sistema de configuración de las cookies al acceder a la política de privacidad o de cookies de la web.

Escrito por Gonzalo Bolado Contreras

Abrir chat