Nuevas directrices de la AEPD (Agencia Española de Protección de Datos)
Las “Cookies” son un pequeño archivo de texto que un sitio web almacena en el navegador del usuario. Estas cookies se suelen utilizar para recordar los sitios visitados por el usuario, sus gustos, sus búsquedas y analizar sus hábitos y comportamientos.
La regulación del uso de esta tecnología se ha visto afectado, el pasado 4 de mayo, por las directrices 05/2020 adoptadas por el CEPD (Comité Europeo de Protección de Datos) sobre el consentimiento en virtud del Reglamento 2016/679 de Protección de datos, actualizando así las Directrices del llamado Grupo de Trabajo del Artículo 29.
En particular, y entre otras, las directrices recomendaban que los proveedores de servicios no puedan impedir que los interesados accedan a un servicio sobre la base de que no dan su consentimiento y por otro lado dejan claro que no están permitidas las cookies walls. Destacaba también, en el marco del RGPD, que el consentimiento debería ser siempre una declaración o acción activa, siendo necesaria la evidencia de que el interesado presta su consentimiento a la actividad propuesta específica, mediante una clara acción afirmativa.
El pasado 28 de julio la AEPD (Agencia Española de Protección de Datos) ha publicado la versión actualizada de Guía sobre el uso de las cookies, con la intención de adaptarla a las mencionadas directrices 05/2020 del CEPD.
Estos nuevos criterios deberán implementarse, a más tardar, el 31 de octubre de 2020, estableciéndose así un período transitorio de tres meses para su adaptación.
La nueva guía hace mención a la prohibición del uso de las conocidas como “cookie walls” y a la no validez del concepto “seguir navegando” como forma válida de prestar consentimiento.
En esta nueva guía se recogen las dos obligaciones legales impuestas por la normativa:
-Transparencia: La información sobre las cookies suministrada en el momento de solicitar el consentimiento debe ser suficientemente completa como para permitir a los usuarios entender sus finalidades y el uso que se dará a sus datos.
En la política de cookies deberá incluirse la siguiente información:
Definición y función genérica de las cookies.
Información sobre el tipo de cookies que se utilizan y su finalidad.
Identificación de quien utiliza las cookies.
Información sobre la forma de aceptar denegar o revocar el consentimiento para el uso de cookies.
Información sobre la transferencia de datos a terceros países.
Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos que afecten al interesado.
Período de conservación de los datos.
Tal y como también establece el RGPD, esta información deberá ser concisa, transparente e inteligible, debiendo utilizarse un lenguaje claro y sencillo, evitando el uso de términos o frases que induzcan o generen confusión o desvirtúen la claridad del mensaje.
Por otro lado, la información deberá ser de fácil acceso, recomendando el uso de avisos por niveles o por capas, mostrando en la primera capa aquella información esencial nada más acceder a la página o a la aplicación, y completando la misma en una segunda capa mediante una página en la que se ofrezca información más detallada y específica sobre las cookies.
-Consentimiento: Para la utilización de las cookies será necesario en todo caso contar con el consentimiento del interesado, mediante una inequívoca acción, siempre afirmativa, en un contexto en el que el interesado haya tenido acceso a toda la información, de una forma clara, sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor o por terceros, de forma que quepa entender que el interesado acepta que se instalen las cookies.
Para que el consentimiento sea válido, este deberá ser otorgado de forma libre, voluntaria, inequívoca e informada, siendo necesario tener en cuenta:
La forma más apropiada para obtener el consentimiento será a través de un clic/check box del interesado o de una acción similar.
El interesado deberá haber realizado una clara acción afirmativa. No serán aceptadas acciones más complejas o el conocido “seguir navegando”.
La acción tiene que ser evidente para que el interesado acepte la utilización de las cookies, p.e. botón “aceptar”.
El interesado podrá negarse a aceptar las cookies.
La información suministrada o mostrada al interesado sobre el uso de cookies deberá encontrarse de forma separada a cualquier otro tipo de información, p. e. aceptación de términos o condiciones de uso de websites o aplicaciones.
El consentimiento debe ser prestado únicamente por el destinatario de los servicios de la sociedad de la información.
Mecanismos para la obtención del consentimiento:
Al solicitar el servicio.
Durante el proceso de configuración del funcionamiento de la web o app.
A través de plataforma de gestión del consentimiento (CMP).
Antes del momento en que se vaya a descargar un servicio o aplicación.
A través del formato de información por capas.
A través de la configuración del navegador.
La industria necesita tomar consciencia de que el desarrollo digital pasa por garantizar la confianza de los usuarios tanto en la red como en las aplicaciones y por garantizar que la utilización de las cookies se realice respetando la privacidad de los interesados/usuarios.
Obtener la confianza de los usuarios implica que sean conscientes de que sus hábitos de navegación en ocasiones van a ser conocidos por prestadores de servicios en Internet, que puedan valorar las ventajas asociadas a dicho conocimiento y que sepan cómo gestionar la aceptación o el rechazo de tales ventajas. El usuario debe ser plenamente consciente de la instalación de cookies es sus dispositivos y de la finalidad de su utilización, siendo en todo momento conscientes y conocedores de la utilización y destino de los datos que estén siendo recabados.
