Análisis de la guía sobre el uso de cookies de la Agencia Española de Protección de Datos

 

13-11-2019 — AR/2019/063

La Agencia Española de Protección de Datos (AEPD) y las asociaciones Adigital, Anunciantes, Autocontrol e IAB Spain han actualizado la normativa de protección de datos con la guía sobre el uso de cookies. Esta guía recoge las orientaciones, garantías y obligaciones que las compañías considerarán  para utilizar cookies y tecnologías similares (fingerprinting, por ejemplo) para cumplir con la legislación vigente sobre protección de datos.

La Agencia Española de Protección de Datos (en adelante, AEPD) y las asociaciones Adigital, Anunciantes, Autocontrol e IAB Spain presentaron el 8-11-2019 una actualización de la «Guía sobre el uso de cookies».

Esta guía analiza la necesidad de obtener el consentimiento informado del usuario antes de instalar las cookies y las obligaciones de transparencia e información.

Transparencia e información a los usuarios

La guía establece que la información para los usuarios debe cumplir los siguientes requisitos:

  1. Ser concreta.
  2. Ser transparente.
  3. Ser fácilmente accesible.
  4. Estar expresada en un lenguaje claro y sencillo.
  5. Evitar el uso de frases confusas como «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted» o «… para mejorar su navegación».

Asimismo, para que el usuario pueda decidir sobre el uso de cookies, la guía promueve la información por capas; es decir, que esta información se facilitará antes de instalar las cookies, con un formato visible, y que deberá mantenerse hasta que el usuario complete la acción requerida para consentir o rechazar la instalación.

En la primera capa, se informará sobre:

  1. las finalidades de las cookies que se utilizan,
  2. si las cookies son propias o de terceros,
  3. el tipo de datos que se va a recopilar y utilizar en caso de que se elaboren perfiles de los usuarios,
  4. el modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies y un enlace claramente visible dirigido a una segunda capa informativa más detallada.

En la segunda capa (política de cookies), que debe estar disponible de forma permanente en el sitio web o en la aplicación, se dará información adicional sobre protección de datos, que comprenda entre otra:

  1. la definición de las cookies utilizadas y su finalidad,
  2. los perfiles que se van a elaborar y se usen para decisiones automatizadas con efectos jurídicos o afecten significativamente de modo similar,
  3. forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies o, en su caso,
  4. las transferencias de datos a terceros países realizadas por el editor.

Modalidades de obtención del consentimiento

La guía ofrece varias opciones a los responsables para que los usuarios acepten, rechacen o configuren las cookies. Destacamos a continuación las siguientes:

  1. A través del formato de información por capas, en la primera, que contiene la información esencial, podrá pedirse el consentimiento para el uso de las cookies. En estos casos, el usuario manifiesta si acepta o no las cookies al confirmar o no la acción de la que ha sido claramente informado, y también tiene información permanente, en la segunda capa sobre la utilización de las cookies y el modo de configurarlas o rechazarlas.
  2. Igualmente, se admite la opción de “seguir navegando” en el aviso al usuario en la primera capa de información, como fórmula válida para obtener el consentimiento, tras haber informado de ello. Para que el consentimiento se considere otorgado, será necesario que el usuario complete un paso que pueda calificarse como una clara acción afirmativa. La guía detalla supuestos de esta acción positiva:
    1. navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad),
    2. deslizar la barra de desplazamiento,
    3. cerrar el aviso de la primera capa,
    4. pulsar sobre algún contenido del servicio, que no sea el mero hecho de permanecer viendo la pantalla, mover el ratón o pulsar una tecla.

Si opta por “seguir navegando”, será necesario que la información de la primera capa se complete con un mecanismo o panel con dos botones: uno para aceptar todas las cookies y otro para rechazarlas todas. Esta segunda opción será fundamental para acreditar que es igual de fácil otorgar que retirar el consentimiento.

La guía también incluye un apartado para la «actualización del consentimiento», en el que se destaca como buena práctica que su validez para el uso de una determinada cookie no sea mayor de 24 meses y que, durante este tiempo, se conserve la selección del usuario sobre sus preferencias para no solicitarle un nuevo consentimiento cada vez que visite la página en cuestión.

Otras cuestiones relevantes

Por último, otras cuestiones de interés que trata la guía son:

  • Sobre la no aceptación de las cookies: se admiten determinados supuestos en los que la no aceptación de las cookies impida el acceso total o parcial al servicio, siempre que se informe adecuadamente de ello al usuario.
  • Sobre menores: en el caso de los menores de 14 años, el responsable del tratamiento hará esfuerzos razonables para verificar que el titular de la patria potestad o tutela dio el consentimiento.
  • Sobre responsabilidad de las partes: anunciantes, editores, agencias, redes publicitarias y otros agentes intervinientes serán responsables del tratamiento cuando utilicen cookies propias y cuando, utilizando cookies de terceros, participen en la determinación de los fines y medios del tratamiento, aunque este lo ejecute un encargado del tratamiento.