RESUMEN DE LA GUÍA USO DE COOKIES PARA HERRAMIENTAS DE MEDICIÓN DE AUDIENCIA
1. HERRAMIENTAS DE MEDICIÓN DE AUDIENCIA Y COOKIES
La Agencia Española de Protección de Datos ha publicado una nueva guía sobre el uso de cookies para herramientas de medición de audiencia, complementaria de la Guía sobre el uso de las cookies, que establece los criterios para poder considerar determinadas cookies o tecnologías equivalentes de medición exentas de la obligación de obtener el consentimiento del usuario.
En la guía se indica que frecuentemente, el uso de estadísticas de tráfico o de rendimiento son esenciales para la gestión de una web o de una APP y que una de las soluciones técnicas para cubrir esta necesidad es el uso de cookies o tecnologías similares.
La información tratada mediante el uso de cookies con dicho fin puede ser gestionada directamente por el editor o bien por un proveedor que puede proporcionar un servicio de medición comparativa de audiencia. En ese caso, el proveedor actuaría como encargado del tratamiento de uno o varios editores.
2. CONDICIONES PARA EXIMIR EL CONSENTIMIENTO
- Condiciones: para que estas cookies utilizadas con el fin de obtener estadísticas de tráfico o de rendimiento puedan estar exentas de consentimiento:
- Su finalidad debe ser exclusivamente la medición de audiencia.
- El tratamiento ha de ser realizado exclusivamente en nombre del editor.
- Deben ser utilizadas únicamente para producir datos estadísticos anónimos.
- No deben dar lugar a que los datos se cotejen con otras operaciones de tratamiento.
- No deben dar lugar a que a que los datos se transmitan a terceros.
- No deben permitir el seguimiento agregado de la navegación de la persona que utiliza diferentes aplicaciones o navega por diferentes sitios web.
- Mediciones: que son las únicas estrictamente necesarias para la correcta administración de un sitio de Internet:
- Medición de audiencia, página por página.
- La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual (a veces llamada «referente»), ya sea interna o externa al sitio, por página y agregada diariamente.
- Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente.
- Estadísticas de tiempo de carga de la página, por página y agregadas por hora.
- Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente.
- Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente.
- Estadísticas sobre la zona geográfica de origen de las solicitudes, por página y agregadas diariamente.
Por lo tanto, cualquier otro tratamiento de los datos más allá de estos enumerados, tanto por el editor como por el proveedor, ha de contar con el consentimiento del interesado.
3. GARANTÍAS QUE DEBE IMPLEMENTAR EL EDITOR CON RELACIÓN A LAS COOKIES EXENTAS
- Garantías mínimas:
- Informar claramente a los usuarios sobre el uso de estas cookies por ejemplo, a través de la política de privacidad del sitio o la App.
- Limitar la vida útil de estas cookies a una duración de 13 meses, y que no se extenderá automáticamente en nuevas visitas, revisándose periódicamente para limitarse a lo estrictamente necesario.
- La información recopilada a través de estas cookies se conservará durante un período máximo de 25 meses, revisándose periódicamente para limitarse a lo estrictamente necesario.
- Garantías de un proveedor que da servicio a varios editores:
- Los datos se recopilan, procesan y almacenan de forma independiente para cada editor.
- Las cookies utilizadas son completamente independientes las unas de las otras y de cualquier otra cookie.
- Garantías adicionales cuando el editor recurre a un proveedor de servicios de medición de audiencia:
- Suscribir contrato de encargo conforme al artículo 28 RGPD en el que se explicite:
- La obligación de no reutilizar los datos.
- Limitar el tratamiento a los fines estrictamente necesarios.
- Cumplir con las garantías establecidas para el caso de dar servicio a múltiples editores.
- Si se transfieren datos fuera del EEE que cumplan con lo exigido en el RGPD.
- Realizar y documentar una evaluación, por sí mismo o por un tercero independiente, de si es posible configurar, y están configuradas, las herramientas proporcionadas por el proveedor para garantizar el cumplimiento de los requisitos enumerados en el apartado anterior.