A vueltas con las cookies
De unos meses a esta parte hemos podido comprobar importantes cambios relativos a la información sobre las cookies que nos aparece en el momento en que accedemos a un sitio web. Y es que el Comité Europeo de Protección de Datos (CEPD) publicó, el pasado mes de mayo, unas directrices que vienen a aplicar la estructura del consentimiento regulado en el Reglamento General de Protección de Datos (RGPD) y que, hasta ese momento, no se venía aplicando a la hora de obtener el consentimiento por parte del usuario.
Recordemos que la descarga de determinadas cookies en los navegadores de los usuarios es un hecho que afecta directamente a la privacidad del individuo y supone un tratamiento de datos personales, puesto que llevan a cabo un rastreo de los hábitos de navegación del usuario que permite a los titulares de las cookies o a terceros, realizar un perfilado de miles de personas con la finalidad de poder dirigir una publicidad determinada o efectuar análisis estadísticos de grupos de personas, de preferencias, de costumbres o de otros rasgos personales o de conductas que suponen una información muy valiosa para las empresas y sus departamentos de marketing.
Actualiza tu política de cookies si no quieres que te sienten mal
Esas directrices del CEPD, dirigidas a todos los Estados miembros de la Unión Europea, han sido trasladadas y aplicadas en España a través de la Autoridad de Control de nuestro país (la Agencia Española de Protección de Datos-AEPD), quien ha publicado en el mes de julio una Guía sobre la nueva regulación de las cookies y que ya resulta de obligado cumplimiento desde el pasado 31 de octubre.
Y es que las empresas y organizaciones deben tomarse muy en serio esta regulación para adaptar los sitios web o las aplicaciones que instalan cookies a estas directrices, exponiéndose a importantes sanciones económicas en caso de no hacerlo. La AEPD ya ha comenzado a revisar las páginas web y a sancionar a los titulares de las webs o de apps que no cumplen con esta adaptación.
Pero ¿en qué consisten estas directrices y la consiguiente adaptación que hay que ejecutar? En realidad, es algo muy sencillo y que debería haberse exigido ya desde el 25 de mayo de 2018, fecha de la entrada en aplicación del RGPD, puesto que supone únicamente el traslado del concepto de consentimiento recogido en el RGPD a la instalación de las cookies en los navegadores de los usuarios.
Debemos tener en cuenta que la instalación de cookies no exceptuadas por la normativa, es decir, las cookies analíticas o de publicidad comportamental, entre otras, requieren siempre el consentimiento del usuario (no así las cookies técnicas). En efecto, el consentimiento, tal como lo concibe actualmente el RGPD en su artículo 4.11, ha de ser libre, específico, informado e inequívoco. El cumplimiento de estos cuatro requisitos vienen suponen en la práctica los importantes cambios que actualmente estamos percibiendo.
Esta situación supone ya el destierro de algunas prácticas que se venían utilizando con frecuencia para la obtención del consentimiento, como era la de “si continúa navegando consiente la instalación de cookies”. En efecto, para el CEPD hacer “scroll” y continuar navegando no supone en absoluto una acción inequívoca para otorgar el consentimiento porque se asimila más a un consentimiento tácito no permitido actualmente por el RGPD que, con el mero hecho de mover incluso accidentalmente el ratón, ya suponía conceder un consentimiento muchas veces no deseado por el usuario.
En consecuencia, para obtener ese consentimiento el usuario debe llevar a cabo una acción inequívoca, esto es, hacer un clic expreso en un botón de “Aceptar” para que no haya lugar a equívocos. Pero debemos trasladar también las otras tres exigencias del consentimiento, que vemos a continuación.
Debe ser libre, es decir, no es legal la instalación de “muros de cookies” que sólo permiten continuar la navegación si aceptamos dichas cookies, no ofreciendo al usuario en momento alguno la posibilidad de rechazar la instalación de dichas cookies. Tampoco es legal actualmente imposibilitar el acceso a un sitio web si el usuario no acepta las cookies.
Debe ser informado, por ello la importancia de que las capas informativas que nos aparecen al acceder a una página web expliquen de una manera clara y sencilla la funcionalidad de las cookies, y que puedan dirigir al usuario de un modo fácil a obtener una información completa contenida en una política de cookies que debe implementarse en todo sitio web.
Por último, debe ser específico, es decir, que el consentimiento no puede ser genérico para todas las funcionalidades técnicas que implementan las cookies. De este modo, se hace necesario que las aplicaciones o los sitios web, si llevan a cabo la instalación de diferentes tipos de cookies, cuenten con un sistema granular de gestión de cookies o “gestor de cookies” que permitan al usuario aceptar determinadas cookies o rechazar otras, según la diferente funcionalidad de cada una de las cookies que se pretenden instalar.
Finalmente, el RGPD también incide en la exigencia de que “debe ser igual de fácil otorgar el consentimiento como retirarlo”. Por ello se hace también necesaria la existencia de un botón que permita, de un solo clic, “rechazar” la instalación de todas las cookies (y no hacerlo obligatoriamente una por una) al igual que existe el botón que permite el “aceptar” la instalación de todas ellas.
En resumen, el traslado simplemente del concepto del consentimiento regulado en el RGPD es lo que ha motivado la necesidad de implementar todos estos cambios para que las apps y los sitios web se adapten a una legalidad que ya se exige desde el pasado día 31 de octubre. Si no has realizado todavía estos cambios, no esperes ni un minuto más.
José Luis Sánchez Calvo
Director Servicios Jurídicos de Leasba Consulting
Abogado. Col. nº 1.727 ICA de León
Especialista en Derecho Digital y de las Nuevas Tecnologías
Delegado de Protección de Datos (DPO)
Certified Data Privacy Professional (CDPP)
Consultor Especialista Titulado LSSICE
Titulado en Ciberseguridad Laboral y Personal
Copyright © by LEASBA CONSULTING, S.L. (Todos los derechos reservados por el autor)
Puedes adaptar tu web a la legalidad vigente contactando con Leasba Consulting, que estará en disponibilidad de ayudarte en todo cuanto necesites para realizar la implantación en tu empresa.
Síguenos en Linkedln para estar al tanto de las últimas novedades en tecnología y derecho tecnológico.
También publicada en Medium.
Podrás ser el primero en enterarte de nuestros eventos, noticias y novedades!