INDICACIONES SOBRE USO DE COOKIES EN LA GUIA DE LA AEPD
La nueva versión de la Guía se publica con motivo de la adaptación de su contenido a las directrices sobre patrones engañosos publicadas por el Comité Europeo de Protección de Datos en febrero de 2023, de modo que a las obligaciones ya existente sobre el uso de cookies se unen algunas obligaciones nuevas encaminadas a evitar la utilización de malas prácticas en relación con la transparencia de la información que se suministra a los usuarios y la obtención del consentimiento de éstos.
I. Empecemos por recordar aquellos aspectos que la Agencia había establecido de manera expresa con anterioridad.
- Consentimiento claro y afirmativo: El consentimiento del usuario para el uso de cookies debe obtenerse de manera clara y afirmativa. Esto significa que el simple hecho de continuar navegando en el sitio no debe interpretarse como consentimiento.
- Configuración granular del consentimiento: Los usuarios deben poder dar su consentimiento de manera granular, es decir, aceptar o rechazar diferentes tipos o categorías de cookies (como cookies de análisis, publicitarias, etc.) ordenadas según su finalidad y dentro de ésta categoría según la entidad que las gestione, por ejemplo dando la posibilidad de rechazar todas las cookies gestionadas por Google o por cualquier otro responsable.
- La información debe ser concisa, transparente e inteligible: La información puede organizarse por capas. Se debe proporcionar información clara y accesible sobre el uso de las cookies, incluyendo detalles como:
a) La definición y función genérica de las cookies.
b) El tipo de cookies que se utilizan y su finalidad.
c) Identificación de quién utiliza las cookies.
d) Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies
e) Información, si las hubiera, sobre las transferencias de datos a terceros países.
f) Información sobre la existencia de elaboración de perfiles, en su caso.
g) Periodo de conservación de los datos.
h) Resto de información exigida por el artículo 13 del RGPD, qué puede remitir a la Política de Privacidad de la web.
- Actualización del consentimiento: Se recomienda como mejor práctica la renovación del consentimiento a intervalos apropiados, con una duración no superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión
- Cumplimiento con RGPD: Debe estar en conformidad con el Reglamento General de Protección de Datos (RGPD) de la UE, garantizando la protección de los datos personales que puedan ser recogidos a través de cookies.
- Especial atención a: Registro de consentimientos y recaptcha, cuando está suministrado por un tercero, en estos casos es necesario que el editor de la web tenga regulada la relación con dicho tercero, que podrá ser Encargado del Tratamiento, en el mejor de los casos o cesionario en el peor, a efectos del RGPD, por lo que el editor será responsable de revisar el cumplimiento de la normativa que hace dicho tercero.
- Se debe monitorizar con regularidad el sitio web en busca de nuevas cookies y actualizar la política de cookies. Aunque son pocas las webs que modifican sus cookies una vez se implantan, o en su defecto, cambian alguna cookie, muy de vez en cuando.
II. Y ahora vamos con las novedades desarrolladas por la nueva Guía de la AEPD:
- Opción de rechazo: La plataforma debe ofrecer una opción visible y fácil de usar para rechazar las cookies, que debe presentarse al mismo nivel y con la misma facilidad que la opción de aceptarlas.
- Facilidad para cambiar preferencias: Los usuarios deben poder cambiar su consentimiento sobre el uso de las cookies de manera sencilla, en cualquier momento.
- Consentimiento de menores de edad: Debe incluir medidas específicas para obtener el consentimiento en el caso de usuarios menores de edad, de acuerdo con las directrices de la AEPD.
- Evitar patrones engañosos: Debe incluir medidas específicas para obtener el consentimiento en el caso de usuarios menores de edad, de acuerdo con las directrices de la AEPD.
III. Finalmente, detallamos algunas recomendaciones de carácter general:
- Documentación y registros de consentimiento afirmativo: Debe mantener registros adecuados del consentimiento otorgado por los usuarios para cumplir con las obligaciones de rendición de cuentas.
En el contexto de las páginas web, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea también requiere que el responsable del tratamiento sea capaz de demostrar que obtuvo el consentimiento válido del interesado. El RGPD no prescribe cómo debe hacerse esto exactamente. No obstante, el responsable debe poder demostrar que, en un caso concreto, un interesado ha dado su consentimiento. La obligación de demostrar el consentimiento existirá mientras dure la actividad de tratamiento de los datos en cuestión. Una vez finalizada dicha actividad, la prueba del consentimiento no deberá conservarse más allá de lo estrictamente necesario para cumplir una obligación legal o para la formulación, el ejercicio o la defensa de reclamaciones.
Un medio idóneo sería aquel en que el responsable mantuviese un registro de las declaraciones de consentimiento recibidas, de manera que pueda demostrar:
(i) cómo se obtuvo el consentimiento y
(ii) cuándo se obtuvo dicho consentimiento, y también
(iii) deberá demostrarse la información que se facilitó al interesado en su momento.
(iv) El responsable también deberá poder demostrar qué se informó al interesado y
(v) que el flujo de trabajo del responsable cumplió todos los criterios pertinentes para un consentimiento válido.
No sería suficiente referirse únicamente a una configuración correcta del sitio web en cuestión. (Directriz 108 de las Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679)
La lógica subyacente a esta obligación en el RGPD es que los responsables del tratamiento deben rendir cuentas con respecto a la obtención del consentimiento válido de los interesados y con respecto a los mecanismos de consentimiento que han adoptado. Esto es especialmente relevante en situaciones donde las páginas web recopilan datos personales, como durante el registro de usuarios, suscripciones a boletines informativos, o el uso de cookies y tecnologías de seguimiento.
Para las páginas web, mantener registros de consentimiento implica:
-
-
- Documentar cómo y cuándo se otorgó el consentimiento: Registrar la fecha y el método a través del cual los usuarios dan su consentimiento (por ejemplo, marcando una casilla, haciendo clic en un botón, ajustando las configuraciones de cookies, etc.).
-
-
-
- Claridad en la información presentada: Asegurar que los usuarios estén plenamente informados sobre el uso de sus datos al momento de dar su consentimiento. Esto incluye la naturaleza de los datos recogidos, los fines del procesamiento, y cualquier tercero que pueda tener acceso a los datos.
-
-
-
- Facilitar la revocación del consentimiento: Ofrecer una manera sencilla para que los usuarios retiren su consentimiento en cualquier momento.
-
-
-
- Seguridad y privacidad de los registros: Proteger los registros de consentimiento para evitar accesos no autorizados o filtraciones de datos.
-
-
-
- Evidencia del consentimiento: Mantener evidencia del consentimiento que pueda ser presentada en caso de ser requerido por las autoridades reguladoras.
-
-
-
- Facilidad de integración y actualización: La plataforma debe ser fácil de integrar y actualizar para garantizar que se mantenga al día con cualquier cambio en la legislación o en las mejores prácticas.
-
- Documentación y registros de consentimiento negativo o retirada del mismo:
Según las recomendaciones del Consejo Europeo de Protección de Datos (CEPD) sobre mecanismos para hacer efectiva la denegación o la retirada del consentimiento:
(i) La cookie para registrar la negativa del consumidor es necesaria para respetar su elección. Puede ser necesario registrar la decisión del usuario durante un período determinado, a fin de reducir la frecuencia de las solicitudes de consentimiento que recibe un usuario. El CEPD considera que el período de un año es adecuado para ello.
(ii) El CEPD recomienda aclarar que el registro del “consentimiento negativo” basado en cookies no debe contener un identificador único, sino más bien información genérica, una bandera o un código, común a todos los usuarios que han rechazado el consentimiento. El CEPD recuerda que las cookies que registran la denegación del consentimiento pueden ser eliminadas por el usuario o debido a un cambio en la configuración técnica, en el plazo de un año. En tal caso, cuando el responsable del tratamiento ya no tenga acceso al registro de la denegación del consentimiento, el CEPD considera razonable solicitar al usuario una nueva solicitud de consentimiento.