La reciente Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre Cookies ha venido a confirmar lo que el Reglamento General de Protección de Datos (RGPD) ya recogía: el consentimiento inequívoco del interesado requiere un comportamiento activo y no pasivo. Por lo tanto, el consentimiento que el usuario de un sitio web debe dar para la instalación de cookies en su equipo terminal no se otorga de manera válida cuando se autoriza mediante una casilla marcada por defecto.
La conclusión del TJUE, en la práctica, implica que las cookies de un sitio web no podrán instalarse salvo que el usuario las acepte expresamente, debiendo estar desactivadas por defecto (en coherencia con el Principio de Privacy by default establecido en el art. 25 del RGPD).
Este razonamiento ya ha sido expresamente contemplado por las Autoridades de Control en materia de Protección de Datos. La Autoridad de Control de Reino Unido (ICO) y la Autoridad de Control francesa (CNIL) publicaron el pasado mes de julio las nuevas guías para el uso de cookies. Ambas autoridades coinciden en la necesidad de que el usuario otorgue su consentimiento previo a la instalación de las cookies en su dispositivo de forma específica, libre e inequívoca, sin que pueda entenderse que dicho consentimiento ha sido otorgado por el hecho de “continuar navegando” por la web.
La Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas, por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas), acoge el mismo criterio, requiriendo que el consentimiento de los usuarios para el almacenamiento de dispositivos de rastreo como las cookies se realice a través de un acto afirmativo claro que manifieste su voluntad libre, específica, informada e inequívoca.
A estos efectos, los usuarios han de disponer de una serie de opciones de configuración que les permitan elegir entre distintos niveles de privacidad, desde el más restrictivo, rechazando todas las cookies que no sean técnicamente necesarias para el funcionamiento de la web, hasta el más permisivo, aceptando la instalación de todas las cookies, incluidas las de terceros, pasando por niveles intermedios que permitan la selección granular de las cookies que el usuario pueda activar o desactivar según sus propios criterios y la información facilitada al efecto por el proveedor web.
La Agencia Española de Protección de Datos (AEPD) anunció el pasado mes de junio, en la celebración de su 11ª Sesión Anual Abierta, la próxima publicación de la actualización de la Guía de cookies que, si bien, todavía no ha sido publicada, deberá acoger los anteriores criterios.
Atendiendo a todo ello, los titulares de páginas webs deberán comenzar a adecuarse a este criterio, tanto técnicamente, evitando la instalación de cookies por defecto sin la previa aceptación de los usuarios, como actualizando los textos legales y la información brindada a los usuarios en este sentido.
Nelia Álvarez. Abogada del Área de Tecnología, Innovación y Economía Digital
Añadir nuevo comentario