La Agencia Española de Protección de Datos (AEPD) ha actualizado la Guía sobre el uso de las cookies para adaptarla a las Directrices sobre consentimiento modificadas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD). La nueva versión de la publicación ha contado, tal y como ocurrió con versiones anteriores, con la participación de los sectores afectados (las asociaciones ADIGITAL, la Asociación Española de Anunciantes, Autocontrol e IAB Spain).
El CEPD publicó en febrero de 2023 las Directrices 03/2022 sobre patrones engañosos en redes sociales. La AEPD incorpora a la nueva versión de la guía el criterio del Comité Europeo, que recoge que las acciones de aceptar o rechazar cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas.
Todo tu negocio en una plataforma
Holded te permite centralizar tus facturas, contabilidad, proyectos, CRM y RRHH de forma intuitiva.
Empieza gratis hoy¿Qué modificaciones se han hecho?
Tal y como se señala en la nueva guía sobre el uso de las cookies, algunos de los cambios han sido los siguientes:
- En el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas (por ejemplo, la elección del idioma de la web o la moneda en la que desea realizar transacciones), se trata de cookies técnicas que no requieren de consentimiento, sin que puedan ser utilizadas para otras finalidades.
- Sin embargo, cuando es el editor el que adopta este tipo decisiones sobre las cookies de personalización basándose en la información que obtiene del usuario deberá informar sobre ello ofreciendo de forma destacada la opción de aceptarlas o rechazarlas. En este caso, el editor tampoco podría utilizarlas para otras finalidades.
- Por otro lado, en cuanto a los muros de cookies, la guía anterior ya precisaba que para que el consentimiento pudiera considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no podía estar condicionado a que el usuario consistiera el uso de cookies. Por tanto, podía haber supuestos en los que la no aceptación de la utilización de cookies impidiese el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informará al usuario y se ofreciera por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el empleo de cookies. La nueva versión aclara que dicha alternativa no tendrá por qué ser necesariamente gratuita.
¿Cuándo se verán estos cambios?
La actualización de la guía sobre el uso de cookies por parte de la AEPD es un paso valioso hacia adelante en la protección de la privacidad en línea y la creación de un entorno digital más justo y transparente para todos los usuarios. Tal y como ha anunciado la propia Agencia Española estas pautas serán implementadas antes del 11 de enero de 2024.
Todas las empresas que dispongan de páginas web que utilicen cookies, más allá de las meramente técnicas (utilizadas para poder desplegar la web o la navegación o que sea posible la identificación de un usuario registrado) deben cumplir con los deberes de información y consentimiento.
Para poder obtener el consentimiento de una forma válida, es necesario que el usuario tenga la opción de aceptar o rechazar las cookies, así como esta información aparece desglosada. Esto es, que pueda escoger qué cookies quiere aceptar y cuáles no, aclaran a Holded fuentes del Despacho de Abogados Cremades & Calvo-Sotelo.
La competencia sancionadora en esta materia corresponde a la AEPD, que puede actuar de oficio o a instancia de parte porque se haya presentado una denuncia. La agencia también puede realizar inspecciones sectoriales para revisar el grado de cumplimiento de las normas en determinados aspectos, explican los expertos del propio despacho.
Uno de los aspectos más destacados de esta actualización es la incorporación del criterio del CEPD relacionado con la presentación de opciones de aceptación o rechazo de cookies. Según las nuevas pautas, ambas opciones deben ser igualmente prominentes y accesibles, sin que rechazar las cookies sea más complicado que aceptarlas.
El nuevo texto también proporciona directrices sobre elementos visuales como el color, el tamaño y la ubicación de estas opciones, con el objetivo de garantizar que los usuarios tengan una comprensión clara y sencilla de sus elecciones.
Otro punto clave es la mención de los muros de cookies. La nueva guía refuerza la idea de que el acceso a servicios en línea no debe estar condicionado a la aceptación de cookies. Si bien anteriormente se permitía el bloqueo de contenido en caso de rechazo de cookies, ahora se insiste en que los usuarios deben tener acceso a una alternativa para acceder al servicio sin necesidad de aceptar cookies, y que esta alternativa no tiene por qué ser gratuita.
¿Qué aspectos jurídicos recoge esta nueva guía que no recogía la anterior?
Principalmente, introduce que las acciones de aceptar o rechazar cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas.
Además, la guía incluye nuevos ejemplos sobre cómo deben mostrarse estas opciones y ofrece indicaciones sobre el color, tamaño y lugar en el que aparecen los avisos legales en las páginas web, explica para los lectores de Holded el abogado del Bufete Mas y Calvet Efrén Díaz.
La AEPD no impone “penas”, sino “multas por infracciones”. La infracción del uso de las cookies sin consentimiento está tipificada en la vigente Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, como infracción muy grave (art. 72).
Las conductas infractoras pueden ser el tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679, así como dicho tratamiento sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679. Además de la omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 y 12 de la ley orgánica, menciona Díaz.
Las sanciones sobre cookies han sido dispares. Destacan algunos ejemplos de resoluciones sancionadoras con cookies, tal y como detalla el abogado de Mas y Calvet:
- 5.000 €: al Grupo Massimo Dutti por no permitir la reconfiguración de los consentimientos otorgados previamente, y plantear dudas sobre la información otorgada a los usuarios en una segunda revisión del banner de cookies al considerarla genérica.
- 4.000 €: a Freshly Cosmetics por premarcar las cookies en su sitio web. La AEPD comprobó que la conocida marca premarcaba todos los grupos de cookies como aceptados.
- 5.000 €: a un periódico digital por incumplimiento del deber de informar en el panel de configuración de cookies, que debe estar visible de manera permanente o fácilmente accesible durante la navegación del usuario.