ePrivacy vs Cookies Law vs GDPR

Privacy & GDPR
1

ePrivacy vs Ley de Cookies vs GDPR (Spanish) - (English version can be found below)

En el siguiente post vamos a aclarar qué son el GDPR, la Directiva ePrivacy y la conocida Ley de Cookies. Aunque están relacionadas con la privacidad y la protección de datos, cada una tiene un enfoque y unos objetivos específicos. A continuación, explicamos en qué se diferencian, cómo se complementan y qué implica cada una a nivel legal y práctico.

En España, lo que llamamos “Ley de Cookies” es la parte de la Directiva ePrivacy que regula el uso de cookies (o tecnologías similares como almacenamiento local, píxeles, etc.). En España, esto se recoge en la Ley de Servicios de la Sociedad de la Información -LSSI- (Artículo 22.2). Así que, cuando hablamos de “Ley de Cookies”, en realidad estamos hablando de la aplicación nacional de un artículo concreto de la Directiva ePrivacy -que regula la privacidad de las comunicaciones electrónicas-. A efectos prácticos, la “Ley de cookies” exige que se obtenga el consentimiento de un usuario cuando se está captando sus datos, independientemente de que sean datos personales o no, independientemente de que esos datos personales están anonimizados o no, e independientemente del tiempo de retención de esos datos. Como regla general, la “Ley de cookies” indica que si las cookies almacenan datos, se requiere el consentimiento del usuario.

Por otra parte, el GDPR regula el tratamiento de datos personales, por tanto, este reglamento es el que regula si los datos se consideran personales o no, o si estamos anonimizando los datos personales (es decir, que no pueden identificar a un individuo y que esos datos son irreversibles).

Cumplir con una no implica cumplir con la otra, por lo que ambas normativas deben respetarse para estar en regla. Por ejemplo: anonimizar los datos, no es pretexto para captar datos a través de las cookies sin solicitar el consentimiento. O si los datos no se tratan de datos personales, tampoco es pretexto para captar datos aunque el usuario no haya dado su consentimiento (la ePrivacy /Ley de Cookies exige consentimiento expreso del usuario, incluso si no se recopilan datos personales.).

Hemos dicho, que como regla general el consentimiento del usuario es requisito indispensable para almacenar datos, sin embargo hay algunas excepciones, estas son las “cookies exentas”:

1.- lo serán siempre las cookies técnicas (permiten el funcionamiento de la página);

2.- las cookies de preferencia (cuando es el propio usuario quién elige las características (idioma o moneda)); y

3.- las cookies de medición, cumpliendo los siguientes requisitos establecidos en la guía sobre el "Uso de cookies para herramientas de medición de audiencia (la “Guía”):

  • Medición de audiencia, página por página;
  • La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual (a veces llamada “referente”), ya sea interna o externa al sitio, por página y agregada diariamente;
  • Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente;
  • Estadísticas de tiempo de carga de la página, por página y agregadas por hora;
  • Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente.
  • Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente;
  • Estadísticas sobre la zona geográfica de origen de las solicitudes, por página y agregadas diariamente.

ePrivacy vs Ley de Cookies vs GDPR (English)

In this post, we’ll clarify what the GDPR, the ePrivacy Directive, and the so-called Cookie Law are. While all are related to privacy and data protection, each has a distinct focus and specific objectives. Below, we explain how they differ, how they complement each other, and what each one implies from both a legal and practical standpoint.

In Spain, what is commonly referred to as the “Cookie Law” is actually the part of the ePrivacy Directive that regulates the use of cookies (or similar technologies such as local storage, pixels, etc.). In Spain, this is transposed into national law through the Law on Information Society Services (LSSI), specifically Article 22.2. So when we talk about the “Cookie Law,” we are actually referring to the national implementation of a specific article of the ePrivacy Directive - the one governing the privacy of electronic communications.

Practically speaking, the Cookie Law requires user consent whenever data is being collected, regardless of whether the data is personal or not, whether the personal data is anonymized or not, and regardless of how long the data is retained. As a general rule, if cookies store data, the Cookie Law requires user consent.

On the other hand, GDPR governs the processing of personal data. It defines whether data is considered personal, and whether data has been anonymized (meaning it can no longer identify an individual and is irreversible).

Compliance with one does not imply compliance with the other, so both regulations must be followed to remain compliant. For example: anonymizing data is not a valid excuse to collect it through cookies without requesting user consent. Likewise, the fact that the data isn’t personal doesn’t justify collecting it without user consent - the ePrivacy Directive (or Cookie Law) explicitly requires consent, even if no personal data is being collected.

As we mentioned, the general rule is that user consent is essential to store data. However, there are some exceptions; these are the so-called “exempt cookies”:

  1. Technical cookies (which are essential for the website to function);
  2. Preference cookies (when the user chooses settings such as language or currency); and
  3. Measurement cookies, provided they meet the conditions set out in the guide on the “Use of cookies for audience measurement tools” (the “Guide”):
  • Audience measurement on a page-by-page basis;
  • The list of referring pages (either internal or external), recorded per page and aggregated daily;
  • Detection of the type of device, browser, and screen size used by visitors, per page and aggregated daily;
  • Page load time statistics, per page and aggregated hourly;
  • Statistics on time spent on each page, bounce rate, scroll depth, per page and aggregated daily;
  • Statistics on user actions (clicks, selections), per page and aggregated daily;
  • Statistics on the geographic origin of requests, per page and aggregated daily.