2023.09.14
Nueva actualización de la Guía sobre el uso de Cookies de la AEPD
El pasado 11 de julio de 2023, la Agencia Española de Protección de Datos (en adelante, la “AEPD”) publicó una nueva actualización de su “Guía sobre el uso de Cookies”, cuyo texto íntegro se encuentra disponible a través del siguiente enlace.
En este sentido, la AEPD ha estimado necesario realizar una nueva actualización sobre el contenido publicado hace justamente tres años, con la finalidad principal de adaptarlo a las Directrices sobre patrones engañosos, publicadas por el Comité Europeo de Protección de Datos (en adelante, “CEPD”) al inicio de este año.
El texto actualizado de la Guía incluye las siguientes novedades de enorme trascendencia práctica que, sin duda, deberán ser tenidas en consideración por nuestras organizaciones:
▪ Cookies de preferencias o personalización.
En los supuestos en los que sea el propio usuario quien toma decisiones sobre el uso de dichas cookies (por ejemplo, la elección del idioma de la web o la moneda en la que desea realizar transacciones), la AEPD determina que se tratarán como cookies técnicas, y por ello, no requerirán del consentimiento del usuario, siempre y cuando no puedan ser utilizadas para otras finalidades (como podría ser por ejemplo, la personalización de contenidos publicitarios), ni para elaborar un perfil del usuario.
▪ Novedades con respecto al contenido de la primera capa informativa: Obligatoriedad de la opción “rechazar” cookies.
En su nueva redacción, la “Guía sobre el uso de Cookies” establece expresamente que la primera capa informativa sobre las cookies deberá contener (i) un botón o mecanismo equivalente para consentir el uso de las cookies (“Aceptar cookies”, “Consentir” o similares); (ii) un botón o mecanismo equivalente, similar al anterior, para rechazar las cookies (“Rechazar cookies” o textos análogos); y (iii) un botón o mecanismo equivalente, claramente visible, que despliegue o lleve al usuario a un panel de configuración que permita aceptar o rechazar las cookies de forma granular, al menos, según su finalidad.
Es decir, la primera capa informativa (banner o gestor de consentimientos) deberá configurarse ahora con los tres botones indicados, incluyendo expresamente la opción de rechazar todas las cookies con un sistema tan sencillo como el que se hubiese establecido para consentir su uso.
Debe destacarse que este aspecto resulta sumamente relevante, ya que hasta la fecha, la AEPD permitía incluir simplemente mecanismos de aceptación y configuración de cookies, sin que fuese necesario incluir el botón “rechazar”.
En este sentido y por lo que afecta a la configuración de dichos mecanismos de consentimiento, la AEPD incide en las siguientes previsiones de observación obligatoria:
No se podrá dar al usuario la impresión de que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web.
No se podrá empujar claramente al usuario a aceptar las cookies.
El color o contraste del texto y los botones (o mecanismos equivalentes) no podrán ser obviamente engañosos para los usuarios, de forma que lleven a un consentimiento involuntario. No será válido, por ejemplo, que la opción para rechazar las cookies sea un botón con un texto que no contrasta lo suficiente con el color del botón y, por lo tanto, no pueda leerse.
▪ Nuevos condicionantes al uso de muros de cookies (“cookies walls” o sistemas de aceptación de cookies obligatoria y necesaria para acceder a los servicios y funcionalidades).
La versión anterior de la “Guía sobre el uso de Cookies” indicaba que, para que el consentimiento pudiera considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no podía estar condicionado a que el usuario consistiese el uso de cookies. Por tanto, sólo podía haber supuestos en los que la no aceptación de la utilización de cookies impidiese el acceso al sitio web o la utilización total o parcial del servicio, cuando se informase al usuario y se ofreciese por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies.
En este sentido, y conforme establecen las Directrices 05/2020 sobre el consentimiento del CEPD, la AEPD aclara ahora (i) que los servicios de ambas alternativas deberán ser genuinamente equivalentes; (ii) que no será válido a tal fin que el servicio equivalente lo ofrezca una entidad ajena al editor; y (iii) que dicha alternativa no tendrá por qué ser necesariamente gratuita.
Atendido el alcance de las antedichas novedades, resulta esencial que cada organización revise sus sitios web y/o aplicaciones para dispositivos móviles, al objeto de implementar las novedades recogidas en la versión actualizada de la “Guía sobre el uso de Cookies”, con el fin de garantizar su adecuación a las nuevas exigencias establecidas por la AEPD.
A estos efectos, la AEPD ha establecido un plazo transitorio de seis meses, por lo que las modificaciones y adaptaciones que, en su caso, cada organización deba introducir en su actual política de cookies deberá implementarse, a más tardar, el 11 de enero de 2024.
Es necesario destacar que, una vez finalizado el referido período transitorio, todos aquellos sitios web y/o aplicaciones para dispositivos móviles que no den cumplimiento a las nuevas exigencias, estarían incurriendo en una infracción susceptible de sanción con multa de hasta 30.000 Euros
En paralelo, y en el ámbito de las Administraciones Públicas, debe indicarse que éstas deberán tener en consideración el documento elaborado por la AEPD el pasado mes de febrero, bajo el título “Orientaciones sobre cookies y analítica web en portales de las Administraciones Públicas” que, si bien no excluye las previsiones contenidas en la “Guía sobre el uso de Cookies”, hace un análisis particular del uso de estas tecnologías en servicios de Internet de Administraciones Públicas”.
Departamento de Derecho Digital
Jon Somocueto | Silvia Ruiz |
jsomocueto@grupobsk.com | sruiz@grupobsk.com |