La Agencia Española de Protección de Datos (AEPD) ha modificado la guía sobre el uso de las cookies siguiendo las directrices del Comité Europeo de Protección de Datos. La más importante es que el consentimiento para el uso de cookies es obligatorio, mediante una clara acción afirmativa por parte del usuario.
En la guía del uso de cookies de la AEPD de diciembre de 2019 aún se permitía que, haciendo scroll en la web en cuestión, se diera por aceptado el uso de cookies. Sin embargo, la Junta Europea de Protección de Datos ha establecido un criterio marco para la obtención correcta del consentimiento en el uso de estas tecnologías. Esta actualización de criterio tiene su origen en la sentencia STJUE C-673/17, sobre política de cookies. Tal y como expone esta sentencia, para que el uso de las cookies de una web sea realizado de forma adecuada debe recabarse la aceptación del usuario mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado, mismos términos que recoge el considerando 32 del RGPD en relación con el consentimiento prestado.
Para que el consentimiento sea obtenido correctamente, aquí detallamos los métodos que no deben usarse para conseguir la aceptación relativa al uso de cookies:
- Scroll. Con base en el considerando 32 del RGPD, las acciones tipo scrolling no significan, bajo ningún concepto, que sea una acción ni clara ni afirmativa de recabar el consentimiento, por lo tanto, no cumplen con el requisito que marca la normativa. Este tipo de acciones hacen difícil que se distingan de otras interacciones del usuario por una web y, por lo tanto, no se puede determinar que se ha obtenido un consentimiento inequívoco mediante este método. La AEPD expone que “el mero hecho de permanecer visualizando la pantalla, hacer scroll o navegar por el sitio web no se considerará una clara acción afirmativa bajo ninguna circunstancia”. Las recomendaciones de la Junta Europea de Protección de Datos, además recogen el hecho de que, si mediante scrolling se pudiera obtener el consentimiento, por la misma vía el usuario podría revocarlo.
- El uso de casillas opcionales premarcadas. La AEPD recoge “que en ningún caso son admisibles las casillas premarcadas a favor de aceptar cookies”, puesto que no suponen un acto afirmativo claro por el usuario pues este no ha podido tomar una acción libre para consentir.
- Silencio o inactividad por parte del interesado. Este método no puede ser considerado tampoco como un acto afirmativo que refleje el consentimiento del usuario. La AEPD así lo declara diciendo que “en ningún caso la mera inactividad del usuario implica la prestación del consentimiento por sí misma”.
- Obligación de aceptación de las cookies. Si el proveedor pone que no hay posibilidad de acceder al contenido si no se hace clic en “aceptar cookies”, el consentimiento no se da libremente, por lo que no cumple con los términos que marca la normativa.
Como buenas prácticas para que el consentimiento que se obtiene del usuario sea válido, tanto en relación con las cookies como sobre el resto de tratamiento de datos que pueda haber dentro de una web, destacan:
- El concepto de “granularidad”. Se refiere a la necesidad de solicitar a los usuarios un consentimiento para cada uso de sus datos. Por ejemplo, se solicita al cliente la autorización para enviarles correos comerciales y también para compartir sus detalles con otras empresas del grupo. Este consentimiento no es granular ya que no hay consentimientos separados para estas dos finalidades distintas.
- Proporcionar información específica. El apartado segundo del artículo 22 de la LSSICE establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos. Por lo que la información facilitada sobre las cookies en el momento de solicitar el consentimiento debe ser suficientemente clara para permitir a los usuarios entender sus finalidades y el uso que se les dará.
- Revocación fácil del consentimiento. Igual que se obtiene el consentimiento también se debe poder retirar fácilmente. Para el usuario debe ser tan sencillo como cuando lo dio y sin suponerle costes o pérdida de acceso a información.
- Uso de lenguaje claro. El mensaje debe ser fácilmente comprensible para el usuario. El consentimiento debe ser claro y distinguible de otros asuntos y debe proporcionarse en una forma inteligible y de cómodo acceso.
l uso de plataformas de gestión del consentimiento (consent management platform o CMP) será válido si permite a la entidad que las utilice cumplir con los requisitos comentados junto con lo que marca la normativa y detalla la guía sobre el uso de las cookies.
La página web es el espejo de la empresa de cara al público. Debe ser un lugar transparente y claro para que los usuarios se sientan cómodos navegando en ella. Además de los aspectos a tener en cuenta sobre el consentimiento, recordemos que la web debe disponer de la información legal correspondiente.
EL CONTENIDO DEL PRESENTE POST HA SIDO ELABORADO POR PyMELEGAL, PARTNER DE novaK ESPECIALISTAS EN PROTECCIÓN DE DATOS.