La ley de cookies se encuentra contenida en el Real Decreto-ley 13/2012 de 30 de marzo de 2012, publicado en el BOE el 31 de marzo de 2012 y en vigor desde el 1 de abril del mismo año (es de cumplimiento obligado bajo pena de sanción). Reflejo de la Directiva europea de 2009, este decreto-ley se integra en el artículo 22 de la Ley 34/2002 de 11 de julio de servicios de la sociedad de la información y de comercio electrónico (LSSI) en 2014. En él queda clara la necesidad de contar con la conformidad del usuario respecto al uso de sus datos mediante la instalación en su terminal de dispositivos de almacenamiento, tales como cookies, y la necesidad de avisar al usuario previamente. Solo se excluyen aquellas cookies necesarias para el funcionamiento de la página.
Un año después de la publicación del Decreto-Ley, en 2013, la Agencia Española de Protección de Datos (AEPD) publica la Guía sobre el uso de cookies, la primera en Europa elaborada en conjunto por la autoridad de protección de datos y los representantes de la industria. En julio de 2020, la AEPD publica junto a IAB Spain y las asociaciones Autocontrol, anunciates y adigital, otra versión de la Guía para presentar las Directrices sobre consentimiento que el Comité Europeo de Protección de Datos (CEPD) había modificado en mayo de ese mismo año. Además, esta guía pretende servir de orientación para el correcto cumplimiento del artículo 22 de la LSSI, del RGPD y de la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (LOPDGDD).
El documento remarca la obligación del consentimiento informado del usuario antes de que se produzca la instalación de los miniarchivos. Asimismo, presenta el rechazo del CEPD al uso del botón “seguir navegando” y puntualiza el empleo de los “muros de cookies”.
Este documento también hace hincapié en la transparencia a la hora de informar sobre el uso de las cookies, que ha de estar disponible y accesible. En general, el almacenamiento de las cookies no necesarias para la página ha de ser consentido por el usuario de una forma clara e inequívoca tras haberle informado sobre el uso que tienen, qué información almacenan, si se transfieren sus datos a terceros, si pueden identificar o no al usuario y sobre el periodo de conservación de los datos (para cumplir con el art. 13 del RGPD).
La Guía también aborda la actualización del consentimiento, considerando como buena práctica que tenga una validez de 24 meses para una determinada cookie, plazo durante el cual se mantengan las preferencias del usuario y no se le solicite un nuevo consentimiento cada vez que visite la misma página.
Por último, si bien las cookies técnicas están exentas del ámbito de aplicación del artículo 22.2 de la LSSI y, por lo tanto, no es necesario informar ni obtener el consentimiento sobre su uso, la Guía recomienda informar sobre su uso de todas formas por razones de transparencia. La Agencia recoge el siguiente ejemplo de cláusula informativa: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”.