Tabla de contenidos
El 11 de enero de 2024 entraba en vigor el uso de la nueva política de Cookies, actualizada por parte de la Agencia Española de Protección de Datos (AEPD), adaptándola a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos (CEPD).
Esta actualización introdujo importantes cambios que han afectado la manera en que los sitios web manejan las cookies, especialmente en lo que respecta a la transparencia y el consentimiento del usuario.
En la práctica: ¿se han aplicado los cambios del uso de cookies?
Los criterios establecidos en la guía del nuevo uso de las cookies debían implementarse, a más tardar el 11 de enero de 2024, proporcionando un periodo transitorio de seis meses para realizar los ajustes necesarios.
Tras un año desde su entrada en vigor, es evidente que estas actualizaciones han promovido una mayor transparencia y control por parte de los usuarios sobre el uso de sus datos personales, marcando un hito significativo en la protección de datos en España.
Qué cambios se aplicaban en el uso de cookies
1. Cookies de Personalización
Una de las actualizaciones más significativas es la clarificación sobre las cookies de personalización. Ahora, cuando un usuario elige aspectos como el idioma o la moneda, estas cookies se consideran técnicas y no requieren consentimiento, siempre que no se utilicen para otros fines.
Ejemplo práctico: Un sitio web permite a los usuarios seleccionar su idioma preferido sin necesidad de consentimiento. Sin embargo, si se utiliza información del usuario para personalizar la experiencia de navegación, se debe obtener consentimiento y ofrecer opciones claras de aceptación o rechazo.
2. Banner de Cookies
El manejo de los banners de cookies también ha cambiado. Ahora deben incluir tres botones: rechazar todas las cookies, aceptarlas o configurarlas según las preferencias del usuario. Además, el botón de "rechazar" debe ser claramente visible, y los colores y contrastes no deben inducir a error al usuario.
Ejemplo práctico: Un sitio web muestra un banner de cookies con tres opciones visibles y claras: rechazar todas, aceptarlas o configurarlas. El botón de "rechazar" es fácilmente localizable y contrastado, y ninguna casilla está premarcada para asegurar un consentimiento válido.
3. Mecanismos de Información
La AEPD recomienda el uso de mecanismos que faciliten la información sobre las cookies, como botones desplegables o texto emergente.
Ejemplo práctico: Un sitio web emplea botones que despliegan información detallada sobre las cookies al hacer clic, permitiendo al usuario acceder fácilmente a la información deseada.
4. Duración del Consentimiento
El consentimiento otorgado por el usuario no debe tener una duración superior a 24 meses, durante los cuales se deben conservar las preferencias sin necesidad de solicitar un nuevo consentimiento en cada visita.
Ejemplo práctico: Un usuario otorga su consentimiento para el uso de cookies en un sitio web, y este es válido durante 24 meses, recordando sus preferencias sin volver a solicitar consentimiento durante este período.
5. Muros de Cookies
No se puede condicionar el acceso a un servicio a la aceptación de cookies. Se debe ofrecer una alternativa sin cookies, aunque esta no necesariamente debe ser gratuita.
Ejemplo práctico: Un sitio web no puede bloquear el acceso a su contenido si el usuario no acepta cookies, pero puede ofrecer una opción de acceso sin cookies que podría ser de pago.
Principales casos y sanciones tras un año de su aplicación
En 2024, las sanciones por el mal uso de banners de cookies han aumentado significativamente debido a la implementación más estricta de las directrices de la AEPD. Las empresas que no cumplan con los requisitos, como la visibilidad clara del botón para rechazar cookies, la prohibición de opciones premarcadas, y la necesidad de un consentimiento informado y no engañoso, se enfrentan a multas que pueden llegar hasta los 30.000 euros por infracción. Este endurecimiento refleja el compromiso de la AEPD con la protección de los derechos de los usuarios en el entorno digital.
Un ejemplo de esto es la reciente sanción de 16.000 euros que SEAT recibió el pasado 18 de septiembre de 2024 por haber utilizado las cookies de los usuarios – más concretamente las de funcionalidad y segmentación, es decir, cookies no esenciales - sin su consentimiento previo.
La AEPD detectó dos infracciones concretas: por un lado, la instalación de cookies sin consentimiento explícito, y por otro lado la falta de mecanismos efectivos para revocar el consentimiento en el panel de configuración de preferencias.
Otro ejemplo ocurre en Francia, donde el pasado 14 de noviembre de 2024 la autoridad de control francesa (Commission Nationale de l'Informatique et des Libertés- CNIL) sancionó a ORANGE con una multa de 50 millones de euros por insertar publicidad en los correos electrónicos de sus usuarios sin el debido consentimiento así como por un uso indebido de cookies, pues, a pesar de que los usuarios retiraban su consentimiento para el almacenamiento y lectura de cookies en el sitio web, las cookies previamente almacenadas seguían leyéndose.
Área de protección de datos
Añadir nuevo comentario