Nuestra área de IP&IT y protección de datos informa sobre la reciente actualización de la Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos.
El pasado 11 de julio, la Agencia Española de Protección de Datos (“AEPD”) publicó una actualización de la Guía sobre el uso de las cookies para adaptarla a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos (“CEPD”). Conforme a la misma, todos los titulares de páginas webs que hagan uso de cookies deberán adaptar sus plataformas a los nuevos criterios establecidos por la AEPD en los próximos 6 meses. Por tanto, a partir del 11 de enero de 2024 la AEPD procederá a sancionar a aquellos que no cumplan con las directrices establecidas en su Guía.
Las principales novedades introducidas en esta actualización han sido las relativas a:
- Recogida del consentimiento: La AEPD ha introducido nuevos requerimientos sobre la forma de recoger el consentimiento de los usuarios para el uso de cookies no exceptuadas.
- No se pueden establecer banner de cookies que den la impresión al usuario de que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web.
- Los banners de cookies deberán incorporar obligatoriamente un botón o mecanismo equivalente para aceptar y rechazar el uso de cookies, así como un mecanismo para configurarlas de forma granular según su finalidad.
En anteriores versiones de la guía, la AEPD entendía que era válido incluir un botón para aceptarlas y otro para configurarlas, sin necesidad de incluir el botón de rechazar, ya que esto podía realizarse a través del panel de configuración. Con esta actualización, la AEPD recomienda que en todos los avisos sobre el uso de cookies aparezcan tres botones (o un medio similar) para aceptar, rechazar o configurar el uso de las cookies.
Pese a lo anterior, como buena práctica, el panel de configuración no debería incluirse en aquellos casos en los que solo se utilicen cookies para una finalidad y, por lo tanto, el usuario solo pueda elegir entre aceptar o rechazar las cookies correspondientes a esa finalidad.
- Las cookies deberán agruparse en función de la finalidad para que el usuario pueda entender la relación y propósito de las cookies.
- Deberá poderse acceder de forma directa al panel de configuración de Cookies por parte de los usuarios. El acceso al panel podrá integrarse en la segunda capa informativa, eso es, la propia política de Cookies.
- Los mecanismos para aceptar y rechazar deberán presentarse en un lugar y formato destacados, de manera que el usuario pueda visualizar claramente sus opciones. Ambos botones deben estar al mismo nivel. Asimismo, deberá evitarse el uso de colores o contrastes obviamente engañosos que inciten al usuario a aceptar el uso de cookies antes que rechazarlas.
- El consentimiento o aceptación a los Términos y Condiciones de Uso de la página web deberá ir separado de la aceptación de la Política de Privacidad o banner de Cookies, de modo que un único consentimiento no sería válido.
Recordemos que la AEPD establece en qué momentos se puede recoger el consentimiento:
a. Al solicitar el alta en un servicio;
b. Durante el proceso de configuración del funcionamiento de la página web/aplicación.
c. A través de plataformas de gestión del consentimiento (consent management platform o CMP).
d. Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido, por ejemplo, en la página web.
e. A través del formato de información por capas.
f. A través de la configuración del navegador.
2. Banner de cookies: La AEPD ha matizado que pueden existir determinados supuestos en los que la no aceptación de las cookies comporte la prohibición de acceder a un servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies.
3. Cookies de personalización: Respecto al uso de cookies de personalización, la AEPD ha aclarado que sólo en el caso que sea el propio usuario quien realiza una solicitud específica para personalizar su experiencia en la web (por ejemplo, escoger el idioma o divisa que desea utilizar), estas cookies estarán exceptuadas del consentimiento del interesado, puesto que se entiende como una clara acción afirmativa.
En caso de que sea el titular de la web quien decida estas características en base a información previa del usuario, el uso de estas cookies requerirá su consentimiento.
Un ejemplo del uso de cookies de personalización para estos fines seria cuando el titular de la web observa que un usuario escoge frecuentemente un mismo personaje de entre los seleccionables en un juego, por defecto le aparezca preseleccionado el personaje que más veces escoge.
El artículo 39 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico sanciona el uso de cookies sin haber facilitado la información necesaria o no haber aplicado medidas para obtener el consentimiento y revocarlo mediante procedimientos sencillos y gratuitos prestado con una multa de hasta 150.000 €; por lo que, la adaptación de las webs antes del 11 de enero de 2024 resulta necesaria a fin de evitar ser sancionados.
Si quiere ampliar más esta información sobre la reciente actualización de la Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos no dude en contactar con nuestra Área de IP&IT y Protección de Datos de DS Durán-Sindreu a los efectos de ampliar esta información.
Carme Setó
Socia y directora del Área IT & IP y protección de datos.
Cuenta con una amplia experiencia tanto en operaciones multidisciplinares como para empresas públicas o privadas de ámbito nacional e internacional y de distintos sectores de actividad.
