RGPD y cookies

El Reglamento (UE) 2016/679 (RGPD) es la normativa general de protección de datos en Europa. Aunque no menciona específicamente las cookies, se aplica plenamente cuando estas tecnologías identifican o pueden identificar a una persona física.

Texto completo del RGPD en EUR-Lex →

¿Cuándo aplica el RGPD a las cookies?

El RGPD entra en juego cuando una cookie contiene o genera datos personales. El concepto de dato personal es amplio: cualquier información que permita identificar directa o indirectamente a una persona. En la práctica, esto incluye la mayoría de cookies de analytics y marketing modernas:

Relación con ePrivacy

Entender cómo interactúan ePrivacy y RGPD es fundamental para cumplir correctamente con ambas normativas. El siguiente diagrama ilustra el proceso de decisión que debe seguirse:

                       ┌─────────────────────┐
                       │  Usuario visita web │
                       └──────────┬──────────┘
                                  │
                       ┌──────────▼──────────┐
                       │ ¿Se accede/almacena │
                       │  en el dispositivo? │
                       └──────────┬──────────┘
                                  │
            ┌─────────────────────┴─────────────────────┐
            │ SÍ                                        │ NO
            ▼                                           ▼
   ┌─────────────────────┐                   ┌─────────────────────┐
   │   Aplica ePrivacy   │                   │    Solo aplica      │
   │      Art. 5.3       │                   │    RGPD si hay      │
   └──────────┬──────────┘                   │  datos personales   │
              │                              └─────────────────────┘
              ▼
   ┌─────────────────────┐
   │     ¿La cookie      │
   │     identifica?     │
   └──────────┬──────────┘
              │
     ┌────────┴────────┐
     │ SÍ              │ NO
     ▼                 ▼
┌───────────┐   ┌───────────┐
│ ePrivacy  │   │   Solo    │
│  + RGPD   │   │ ePrivacy  │
└───────────┘   └───────────┘

En resumen: si instalas cookies, siempre aplica ePrivacy. Si además esas cookies identifican personas, también aplica el RGPD.

Bases legales del RGPD

El RGPD establece seis bases legales para tratar datos personales. Sin embargo, no todas son aplicables al contexto de las cookies. A continuación se analiza cada una de ellas desde la perspectiva específica del uso de cookies:

El debate del interés legítimo

Existe un debate recurrente sobre si las cookies de analytics pueden basarse en interés legítimo en lugar de consentimiento. Algunos argumentan que medir las visitas a un sitio web es un interés legítimo del responsable. Sin embargo, esta posición tiene serios problemas jurídicos:

• La ePrivacy prevalece sobre el RGPD para cookies
• ePrivacy no reconoce el interés legítimo como excepción
• Las autoridades (CNIL, AEPD) han rechazado este argumento
• El consentimiento sigue siendo obligatorio

Dictamen del EDPB sobre interés legítimo →

Derechos de los usuarios

El RGPD otorga a los ciudadanos europeos un conjunto de derechos sobre sus datos personales. Cuando las cookies recogen datos personales, estos derechos son plenamente aplicables.

Derecho de información

El derecho más fundamental es el de información. Antes de usar cookies que recojan datos personales, debes informar de forma clara y accesible sobre:

• Qué cookies utilizas
• Para qué las utilizas
• Quién las establece (first/third party)
• Cuánto tiempo duran
• Cómo rechazarlas o retirar el consentimiento

Derecho de acceso

Los usuarios tienen derecho a saber qué datos has recogido sobre ellos. En el contexto de las cookies, esto puede incluir solicitar información sobre:

• Qué datos has recopilado mediante cookies
• Con quién los has compartido
• Para qué los has utilizado

Derecho de supresión

También conocido como "derecho al olvido", permite a los usuarios solicitar la eliminación de sus datos. Cuando un usuario lo ejercita, debes:

• Eliminar los datos recopilados
• Dejar de usar cookies en su dispositivo
• Informar a terceros de la supresión

Derecho de oposición

El usuario puede oponerse en cualquier momento al tratamiento basado en interés legítimo. Si utilizas esta base legal (aunque, como hemos visto, es muy cuestionable para cookies), debes facilitar este derecho.

Sanciones del RGPD

Las sanciones por incumplimiento del RGPD pueden ser muy elevadas. El reglamento establece dos niveles de sanciones, dependiendo de la gravedad de la infracción:

En el contexto específico de las cookies, las infracciones que pueden dar lugar a sanciones incluyen conductas como no obtener consentimiento válido, no informar adecuadamente al usuario, dificultar la retirada del consentimiento, o transferir datos a terceros sin una base legal apropiada.

Cookies y transferencias internacionales

Un aspecto frecuentemente olvidado es que muchas cookies de terceros implican transferencias de datos fuera de la Unión Europea. Los principales proveedores de analytics y publicidad tienen sus servidores en Estados Unidos:

• Google Analytics → EEUU
• Facebook Pixel → EEUU
• Hotjar → EEUU/Israel

Cuando utilizas estos servicios, necesitas cumplir con dos requisitos legales diferentes. Por un lado, debes tener una base legal para instalar la cookie (normalmente, el consentimiento del usuario). Por otro lado, necesitas una base legal específica para la transferencia internacional de datos.

Las opciones más comunes para legitimar transferencias internacionales incluyen las cláusulas contractuales tipo aprobadas por la Comisión Europea, las decisiones de adecuación para países con nivel de protección equivalente, y las normas corporativas vinculantes para grupos empresariales.

Decisión de adecuación EEUU - Data Privacy Framework →