La Agencia Española de Protección de Datos ha actualizado la Guía sobre el uso de las cookies para adaptarla a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos.
Protección de Datos.
El pasado 11 de julio, la Agencia Española de Protección de Datos (“AEPD”) publicó una actualización de la Guía sobre el uso de las cookies para adaptarla a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos. Conforme a la misma, todos los titulares de páginas webs que hagan uso de cookies deberán adaptar sus plataformas a los nuevos criterios establecidos por la AEPD antes del próximo 11 de enero de 2024.
Las principales novedades introducidas en esta actualización han sido las relativas a:
- Recogida del consentimiento: La AEPD ha introducido nuevos requerimientos sobre la forma de recoger el consentimiento de los usuarios para el uso de cookies no exceptuadas.
- No se pueden establecer banners de cookies que den la impresión al usuario de que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web.
- Los banners de cookies deberán incorporar obligatoriamente un botón o mecanismo equivalente para aceptar y rechazar el uso de cookies, así como un mecanismo para configurarlas de forma granular según su finalidad.
En anteriores versiones de la guía, la AEPD entendía que era válido incluir un botón para aceptarlas y otro para configurarlas, sin necesidad de incluir el botón de rechazar, ya que esto podía realizarse a través del panel de configuración. Con esta actualización, la AEPD recomienda que en todos los avisos sobre el uso de cookies aparezcan tres botones (o un medio similar) para aceptar, rechazar o configurar el uso de las cookies.
Pese a lo anterior, como buena práctica, el panel de configuración no debería incluirse en aquellos casos en los que solo se utilicen cookies para una finalidad y, por lo tanto, el usuario solo pueda elegir entre aceptar o rechazar las cookies correspondientes a esa finalidad.
- Los mecanismos para aceptar y rechazar deberán presentarse en un lugar y formato destacados, de manera que el usuario pueda visualizar claramente sus opciones. Ambos botones deben estar al mismo nivel. Asimismo, deberá evitarse el uso de colores o contrastes obviamente engañosos que inciten al usuario a aceptar el uso de cookies antes que rechazarlas.
- Las cookies deberán agruparse en función de la finalidad para que el usuario pueda entender la relación y propósito de las cookies.
- El consentimiento o aceptación a los Términos y Condiciones de Uso de la página web deberá ir separado de la aceptación de la Política de Privacidad o banner de Cookies, de modo que un único consentimiento no sería válido.
2. Banner de cookies: La AEPD ha matizado que pueden existir determinados supuestos en los que la no aceptación de las cookies comporte la prohibición de acceder a un servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies.
3. Cookies de personalización: Respecto al uso de cookies de personalización, la AEPD ha aclarado que sólo en el caso que sea el propio usuario quien realiza una solicitud específica para personalizar su experiencia en la web (por ejemplo, escoger el idioma o divisa que desea utilizar), estas cookies estarán exceptuadas del consentimiento del interesado, puesto que se entiende como una clara acción afirmativa.
En caso de que sea el titular de la web quien decida estas características en base a información previa del usuario, el uso de estas cookies requerirá su consentimiento.
Un ejemplo del uso de cookies de personalización para estos fines seria cuando el titular de la web observa que un usuario escoge frecuentemente un mismo personaje de entre los seleccionables en un juego, por defecto le aparezca preseleccionado el personaje que más veces escoge.
El artículo 39 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico sanciona el uso de cookies sin haber facilitado la información necesaria o no haber aplicado medidas para obtener el consentimiento y revocarlo mediante procedimientos sencillos y gratuitos prestado con una multa de hasta 150.000 €; por lo que, la adaptación de las webs antes del 11 de enero de 2024 resulta necesaria a fin de evitar ser sancionados.
Iva Roda
Abogado del Área Legal de IP&IT y Protección de Datos
