El pasado mes de junio la Agencia Española de Protección de Datos (AEPD) actualizó su “Guía sobre el uso de Cookies” para adaptarla a los requisitos de consentimiento requeridos por el Reglamento General de Protección de Datos (RGPD) y las Directrices emitidas al respecto por el Comité Europeo de Protección de Datos (EDPB por sus siglas en inglés), sobre la política de cookies de las páginas web.
El cambio de criterio de la AEPD respecto a la anterior Guía de Cookies afectaba especialmente a los siguientes aspectos:
- “Seguir navegando” ya no es una opción válida para obtener el consentimiento del usuario para la instalación de cookies. Según la nueva normativa de AEPD, deberán ponerse a disposición de los usuarios mecanismos que permitan consentir mediante una clara acción afirmativa la instalación de las cookies al acceder a la web.
- Se prohíbe el uso de los “cookie walls” (o muro de cookies), que impiden el acceso al contenido y/o funcionalidades de la web si el usuario no acepta la política de cookies. El usuario no debe verse obligado a aceptar las cookies para poder acceder al contenido del sitio web, pues de esta forma no podría considerarse que el consentimiento se ha prestado libremente y no sería válido.
- La remisión a las opciones de configuración del navegador como mecanismo para revocar el consentimiento no es válida. El usuario debe poder denegar o revocar el consentimiento prestado para el uso de cookies a través de la propia página web y facilitar información sobre cómo revocar el consentimiento ante los terceros que utilizan cookies a través de su web.
Las recomendaciones de la AEPD, en concordancia con la legislación aplicable, persiguen reforzar la transparencia frente al usuario y garantizar un mayor control sobre sus datos personales.
Para cumplir con las nuevas Directrices de la AEPD en materia de Cookies, los titulares de páginas web deben incorporar mecanismos para:
- Facilitar al usuario la información requerida por la normativa, en particular y entre otras cosas, sobre el tipo de cookies que se utilizan y sus finalidades, indicando si son cookies propias o de terceros. Esta primera información básica debe ponerse a disposición del usuario antes de la instalación de cookies y podrá disponerse a través de un banner que remita a la información completa recogida con mayor detalle en la Política de Cookies.
- Obtener el consentimiento libre, específico e inequívoco del usuario, de forma previa a la instalación de cookies no técnicas.
- Permitir a los usuarios rechazar las cookies o retirar el consentimiento previamente prestado.
Para poder acometer los cambios requeridos por las nuevas exigencias de la normativa de AEPD en materia de cookies, es imprescindible la colaboración entre el equipo técnico que se encargue de la administración y/o mantenimiento web y el equipo legal.
De nada sirve contar con un banner o un mecanismo de configuración si los textos legales no cumplen las exigencias en materia de información. En el mismo sentido, no será suficiente la elaboración e incorporación de textos informativos si no se han identificado correctamente las cookies dispuestas en la web, o si, aun informando e incorporando mecanismos de obtención del consentimiento, no se acompaña de una configuración que garantice la instalación de las cookies sólo cuando se haya obtenido el consentimiento, impidiendo que se instalen por defecto, y permita acreditar y guardar evidencia de la obtención de dicho consentimiento previo.
El plazo para adaptarse a la nueva normativa de la AEPD finaliza el próximo 31 de octubre de 2020
Las empresas titulares de páginas web que no se hayan adaptado a las nuevas exigencias, se exponen a ser sancionadas con multas de hasta 30.000 € por incumplimiento leve de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI). Sin perjuicio de la aplicación de la LSSI, debe tenerse en cuenta que, en la medida en que la instalación de cookies afecte al tratamiento de datos personales de los usuarios, el RGPD contempla sanciones que pueden alcanzar hasta los 20 millones de euros o el 4% del volumen de facturación anual de la empresa para las infracciones más graves.
Recientemente, ha sido publicada la sanción impuesta a una conocida aerolínea, por importe de 30.000 €, por no tener adaptada su web a las exigencias en materia de política de cookies.
La AEPD considera infringido el deber de información, al corroborar que:
- La información contenida en el banner de cookies (primera capa informativa) induce a confusión y desvirtúa la claridad del mensaje, al incorporar expresiones como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”.
- No se informa sobre si las cookies son propias o de terceros.
- No se informa sobre el tipo de datos recopilados para la elaboración de perfiles relacionados con las cookies de publicidad comportamental.
- No se informa del periodo de conservación de las cookies en el navegador.
- No se le da la opción al usuario de rechazar la política de cookies, pues se requiere necesariamente que seleccione “aceptar” o el botón de configuración de cookies para continuar la navegación.
- Instalan cookies por defecto cuando se accede a la web, sin la aceptación previa del usuario.
De la resolución de la AEPD es destacable que, si bien el titular de la web ajustó y modificó la web para integrar los requisitos exigidos por la autoridad de control, la AEPD verifica que no fueron realizados en la fecha indicada por la empresa, ante el primer requerimiento de información. Considera la AEPD que la empresa titular no acometió los ajustes propuestos para adecuar la web hasta que recibe la incoación del expediente sancionador.
La sanción expuesta es un claro ejemplo de todos los aspectos a los que debe prestarse atención para adaptar la web a las exigencias sobre cookies.
Si todavía no has revisado tu web y verificado que cumple con los requisitos expuestos, recuerda que el plazo de adaptación otorgado por la nueva normativa de AEPD finaliza el próximo día 31 de octubre de 2020.
Si podemos ayudarte a revisar si tu web cumple o no con los requisitos legales para la instalación de cookies y ayudarte a adecuarla a los nuevos criterios recogidos por la AEPD, no dudes en contactarnos.
Nelia Álvarez
Área de Tecnología, Innovación y Economía Digital
Añadir nuevo comentario