La continua transformación digital de la sociedad, unido a los avances tecnológicos y al auge del comercio online, sitúan a la protección de datos personales en el epicentro en este 2024. Por ello, es necesario fomentar una cultura de autocontrol y adoptar un enfoque consciente y responsable en el manejo de los datos personales, debiendo prestarse especial atención a situaciones donde la recogida y el tratamiento de los mismos no parece evidente para los usuarios. Este sería el supuesto de la información recopilada mediante la utilización de los dispositivos de almacenamiento y recuperación de datos, como cookies u otros.
A través de ellas, los prestadores de servicios en línea acceden a numerosos datos personales que se tratan con distintas finalidades, entre ellas, mejorar la experiencia del usuario en línea, por ejemplo, recordando las preferencias para adaptar el contenido a sus gustos, así como para crear perfiles que permitan mejorar la publicidad digital.
Por ello, el usuario debe prestar su consentimiento para la instalación de dichas cookies y que sus datos puedan ser tratados, un consentimiento que debe ser expreso, previo, libre e informado lo que le permite tener el control sobre el tratamiento de sus propios datos.
En relación con este requisito cobran importancia crítica las políticas de cookies y los paneles de configuración como mecanismos informativos y de consentimiento donde el usuario puede conocer la tipología de cookies que pretenden ser instaladas en su terminal cuando accede a sitios webs o apps, los datos que ésta recaban y las finalidades para las que son utilizados, para así poder prestar su consentimiento o denegarlo.
En este sentido, la Agencia Española de Protección de Datos (AEPD) ha actualizado sus directrices sobre el uso de cookies a través de tres textos:
1/ Actualización de su “Guía sobre la política de uso de las cookies” (11 de julio de 2023) donde se ha establecido nuevos criterios que deben haber sido implementados por las empresas antes del pasado 11 de enero de 2024 (momento en que terminó el periodo transitorio de 6 meses conferido por la AEPD).
La finalidad de dicha actualización fue adaptar su redacción a las Directrices 03/2022 sobre patrones engañosos del Consejo Europeo de Protección de Datos (CEPD). Se consideran patrones engañosos aquellas prácticas en las plataformas que pueden influir en contra de los intereses de los usuarios para que tomen decisiones involuntarias en beneficio de las plataformas y en relación con el tratamiento de sus datos, técnicas que ya estaban prohibidas por el artículo 25 de la Ley de Servicios Digitales [Reglamento de Ejecución (UE) 2023/1201 de la Comisión de 21 de junio de 2023 relativo a las disposiciones detalladas para la tramitación de determinados procedimientos por parte de la Comisión con arreglo al Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo («Ley de Servicios Digitales»)].
Los cambios más significativos derivados de la actualización de la Guía que deberán tenerse en cuenta a la hora de adaptar las webs a las nuevas exigencias en los casos en que aún no se haya realizado, son los siguientes:
I. Una de las principales novedades es la exigencia de establecer en los denominados banners de cookies (es decir, en la primera capa informativa que se muestra a los usuarios) no solo la opción de aceptar todas las cookies, sino también la opción de rechazarlas (de acuerdo con la anterior guía de la AEPD, esta opción podía encontrarse en la segunda capa). Esto supone que tiene que ser tan fácil rechazar las cookies como actualmente es aceptarlas. La AEPD especifica que no será válido establecer la opción de rechazar de una forma que no sea visible y clara para el usuario, como sería establecer una casilla de rechazar las cookies “con un texto que no contrasta lo suficiente con el color del botón y, por lo tanto, no pueda leerse”. En definitiva, las acciones para aceptar o rechazar las cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas. La Guía incluye nuevos ejemplos sobre cómo deben mostrarse estas opciones ofreciendo indicaciones sobre, entre otros, el color, tamaño y lugar en el que aparece.
II. Igualmente, en el banner de cookies debe incluirse un botón que remita a una segunda capa donde se encuentre el “panel de configuración” que servirá para que, en aquellos casos en los que las cookies se utilizan con distintas finalidades, el usuario pueda seleccionar aquellas cookies que acepta y aquellas que rechaza sin tener que hacer un gran esfuerzo de búsqueda. También será útil cuando solo existiendo una finalidad de tratamiento ésta pueda cambiar en el futuro.
III. Otro aspecto relevante sobre el que la nueva Guía de la AEPD arroja luz es el relativo sobre cómo guardar la selección de configuración realizada por el usuario. A estos efectos en el panel de configuración debe indicarse o desprenderse claramente cómo guardar siendo válidos por ejemplo un botón con el texto “Guardar selección”, “Guardar configuración” o textos similares. Para facilitar la selección, en el panel podrán además implementarse dos botones, uno para seleccionar todas las categorías de cookies y otro para rechazarlas todas si el usuario las ha seleccionado previamente, siendo esta opción recomendable cuanto mayor sea el número distinto de categorías en las que se hayan clasificado las cookies. Si el usuario guarda su elección sin haber seleccionado ninguna cookie, equivaldrá al rechazo de todas las cookies. Debe recordarse que en ningún caso son admisibles las opciones premarcadas a favor de aceptar cookies para obtener un consentimiento válido.
IV. También, en relación con el consentimiento, la AEPD recuerda que el CEPD ha establecido que seguir navegando no es una forma válida de prestar el consentimiento. Del mismo modo, la consulta de la segunda capa informativa si la información se presenta por capas, así como la navegación necesaria para que el usuario gestione sus preferencias en relación con las cookies, no es una conducta activa de la que pueda derivarse la aceptación de cookies.
V. En cuanto a los denominados “muros de cookies”, esto es, la necesidad de aceptar las cookies para poder entrar en una determinada página web, la Guía anterior ya precisaba que para que el consentimiento pudiera considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no podía estar condicionado a que el usuario consistiese el uso de cookies. Por tanto, podía haber supuestos en los que la no aceptación de la utilización de cookies impidiese el acceso a la web o la utilización total o parcial del servicio, siempre que se informase al usuario y se ofreciese por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. La nueva versión de la Guía aclara que dicha alternativa, que no podrá ser ofrecida por un servidor ajeno al editor, no tendrá por qué ser necesariamente gratuita. Es decir, la AEPD ha admitido expresamente que se pueda solicitar un pago al usuario si éste no acepta el uso de cookies (este sistema es conocido como “cookie Paywalls” o como mecanismo “Pay or Okay”).
VI. Finalmente otro cambio introducido por la AEPD en esta nueva guía es el relativo a las cookies de personalización que, según se definen en la propia guía “son aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio, etc”. En relación con ellas, la Guía hace una distinción: (i) si es el propio usuario quien toma decisiones sobre ellas, es decir, elige sus preferencias (por ejemplo, la elige el idioma de la web o la moneda en la que desea realizar transacciones) el editor de la página web no tendrá que cumplir con las obligaciones impuestas en la Guía sobre información y consentimiento, por considerarse como cookies técnicas para prestar un servicio expresamente solicitado por el usuario, siempre y cuando las cookies obedezcan exclusivamente a la finalidad seleccionada (por tanto la información que pueda desprenderse de la selección del usuario no podrá emplearse para otros fines (por ejemplo, para la personalización de contenidos publicitarios) ni para elaborar un perfil del usuario); (ii) sin embargo, cuando es el editor el que adopta este tipo decisiones sobre las cookies de personalización basándose en la información que obtiene del usuario, deberá informar sobre ello ofreciendo de forma destacada la opción de aceptarlas o rechazarlas. En este caso, el editor tampoco podría utilizarlas para otras finalidades.
2/ “Guía – El uso de cookies para herramientas de medición de audiencia” (11 de enero de 2024). Publicada el mismo día que vencía el periodo transitorio conferido para la adaptación de las cookies antes aludido, esta otra guía estableció directrices específicas para el uso de las cookies utilizadas con el fin de obtener estadísticas de tráfico o de rendimiento.
En ella, la AEPD aborda la exención del consentimiento para la utilización de las cookies que se utilicen con el propósito de obtener estadísticas de tráfico o de rendimiento, entendiendo que dichas cookies se encontrarían en esa situación de exención de consentimiento siempre que (i) tengan una finalidad estrictamente limitada a la medición exclusiva de la audiencia del sitio o de la aplicación, (ii) el tratamiento sea realizado en nombre exclusivo del editor y (iii) sean utilizadas para producir datos estadísticos anónimos únicamente.
En estos supuestos, en los que las cookies estarían exentas de consentimiento por parte de los usuarios del sitio o de la aplicación, deben cumplirse ciertas garantías mínimas por parte de los editores, que se centran en informar a los usuarios sobre la utilización de estas cookies, limitar su vida útil y establecer un periodo máximo de conservación de los datos obtenidos. Asimismo, la AEPD señala que, cuando el editor recurra a un proveedor externo, debe formalizar por escrito un compromiso contractual en el que se cumplan los requisitos del art. 28 del Reglamento General de Protección de Datos debiendo además verificar el cumplimiento por parte de dicho proveedor de las garantías establecidas.
3/ Nueva actualización de su “Guía sobre la política de uso de las cookies” (enero 2024). En ella se incorpora a dicha guía general, vía anexo, la segunda guía específica de cookies para herramientas de medición de audiencia, disponiendo así en un único texto todas las directrices de la AEPD sobre cookies.
En Dikei Abogados, estamos a su disposición para ayudarle con sus dudas o aclaraciones sobre esta materia.
- Cristina Martín Sánchez (Área de Compliance & Data de DIKEI Abogados).
- Lucía Sáenz de Buruaga Anta (Área de Compliance & Data de DIKEI Abogados).
