El pasado 11 de julio la Agencia Española de Protección de Datos (“AEPD”) publicó una nueva versión de la Guía sobre cookies. En dicho documento se abordan aspectos que estaban en duda o suscitaban controversias en relación con la gestión de las cookies por parte de las páginas.
La nueva Guía de Cookies busca adaptar las recomendaciones realizadas anteriormente por parte de la AEPD en base a las nuevas directrices del Comité Europeo de Protección de Datos, en concreto las Guidelines 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679 publicadas el 4 de mayo de 2020.
El objetivo de este post es plasmar los cambios introducidos tras la publicación de la Guía sobre Cookies en relación con las antiguas recomendaciones realizadas por la AEPD.
1.- Requerimiento de una acción positiva por de los usuario para otorgar un consentimiento válido.En la antigua guía publicada por la AEPD (noviembre de 2019) habilitaba la posibilidad de obtener el consentimiento del usuario para el tratamiento de datos personales a través de las cookies, entre otras opciones, utilizando la modalidad de “seguir navegando”, teniendo en cuenta que el usuario debía efectuar una clara acción positiva o afirmativa (
entre otros, utilizar la barra de desplazamiento de la web, cerrar el aviso de cookies o pulsar sobre algún contenido de la web).
En este sentido, Comité Europeo de Protección de Datos indicó expresamente en las citadas Guidelines que la acción de deslizar la barra de desplazamiento no puede ser entendida como una acción clara y afirmativa, concluyendo que no es posible considerar dichas acciones como un consentimiento es válido.
En consonancia con lo indicado por el Comité Europeo de Protección de Datos, la AEPD decide eliminar la posibilidad de otorgar el consentimiento a través del uso de la barra de desplazamiento, estableciendo en la nueva guía que para que el consentimiento sea válido, tiene que ser evidente y claro para el usuario que con la concreta acción que efectúe procede a acepta las cookies. Asimismo la AEPD considera que el uso de un botón que contenga la palabra “ACEPTAR” se considera suficiente para otorgar el consentimiento para la instalación de las Cookies.
2.- Prohibición con carácter general del uso de los denominados “muros de cookies”.
Los muros de cookies, también conocidos como “cookie walls” en inglés, hacen referencia a aquellos sistemas de gestión de Cookies por el cual, si el usuario no la acepta la instalación de las cookies, el sitio web bloquea el contenido y no permite acceder al usuario.
Las recomendaciones realizadas por la AEPD previamente no establecía la prohibición cookie walls. Es más, se permitía la denegación total o parcial del servicio, siempre y cuando se informara adecuadamente al usuario y dicha limitación de acceso al servicio web no fuera el único medio facilitado al usuario para ejercitar un derecho legalmentereconocido.
Sin embargo, a raíz de las Guidelines publicadas por el Comité Europeo de Protección de Datos, se establece que para que el consentimiento se otorgue libremente, el acceso a los servicios y funcionalidades no debe estarcondicionado a la aceptación de las cookies por parte de los usuarios.
En este sentido, las Guidelines incluyen un ejemplo para clarificar dicho tema. En concreto indican que un sitio web que coloque un banner que impida que el contenido sea visible excepto para una solicitud de aceptación de cookies(cookie wall) no constituye un consentimiento válido, ya que la prestación del servicio se basa en que el interesado haga clic en el botón «Aceptar cookies». En consecuencia, el consentimiento no se presta de forma libre.
A la vista del criterio del criterio establecido por las Guidelines, la AEPD declara la prohibición de la utilización de los denominados “muros de cookies” o “cookie walls” que no ofrezcan una alternativa al consentimiento.
3.- Implementación de mecanismos para que rechazar cookies sea igual de fácil que aceptarlas.
La AEPD, al introducir como novedad la imposibilidad de poder seguir utilizando la modalidad de “seguir navegando”, considera oportuno introducir una nueva modalidad para obtener el consentimiento del usuario. Específicamente, dicha modalidad consiste en ofrecer al usuario la opción de aceptar todas las cookies habilitando un botón de “ACEPTAR” e informar sobre la posibilidad de configuración de las cookies, a través de un botón de “CONFIGURAR” donde deberá desplegarse un menú para que el usuarios pueda decidir que cookies instalar y cuales no. La AEPDindica que, en caso de elegir esta modalidad, deberá incluirse en el panel de configuración un botón único que permita rechazar todas las cookies, de modo que sea tan fácil retirar el consentimiento como otorgarlo.
Asimismo, para poder dar cumplimiento a dicha obligación, en la segunda capa, el gestor de la página web puede implementar un botón para permitir guardar la elección realizada por el usuario la primera vez, debiendo advertir queen caso de que el usuario guarde su elección sin haber seleccionado ninguna cookie, esta acción equivaldrá al rechazo de todas ellas.
4.- Información sobre las categorías especiales de datos.
En el supuesto de que el responsable una web deba tratar categorías especiales de datos (art. 9 RGPD), según los nuevos criterios establecidos por la AEPD, será necesario solicitar el consentimiento inequívoco al usuario, mediante la instalación en la web de botones de aceptación (por ejemplo, checkbox) que permitan al usuario consentir el tratamiento de los datos de categoría especial por un lado, y por otro, permitir que el editor web pueda registrar e dicho consentimiento del usuario.
En cuanto al formato de solicitud del consentimiento, la AEPD recomienda que el banner en el que se informe al usuario sobre el tratamiento de categorías especiales de datos y se pida la aceptación para dicho tratamiento, se titule “categorías especiales de datos”, destacándolo o subrayándolo en otro color, e incluso incluyendo un enlace de manera que el usuario al pasar el puntero pueda conocer las categorías específicas de datos que se utilizan.