La Agencia Española de Protección de Datos actualiza la guía sobre el uso de cookies

13-07-2023 — AR/2023/098

Esta actualización busca ajustar la guía a directrices del Comité Europeo de Protección de Datos y aclarar aspectos sobre el consentimiento, la instalación y finalidades de las cookies.

La Agencia Española de Protección de Datos (AEPD) ha actualizado, el 11-7-2023, la «Guía sobre el uso de cookies», para adecuarla a las Directrices 03/2022, sobre patrones engañosos, del Comité Europeo de Protección de Datos (CEPD).

La guía orienta sobre cómo cumplir las obligaciones del apartado segundo del artículo 22 de la Ley 34/2002,1 en relación con el reglamento general de protección de datos2 (RGPD) y con la Ley Orgánica 3/2018.3

Obligaciones para el uso de cookies

Consentimiento para la instalación

Al solicitar el consentimiento para instalar las cookies, ha de presentarse información completa para que los usuarios entiendan las finalidades que persiguen con estos elementos y el uso que se dará a los datos que se obtengan con ellas.

La política de cookies debe:

  • ser sucinta para evitar el cansancio informativo,
  • utilizar un lenguaje claro y sencillo, y
  • ser fácilmente accesible.

Debe incluir los siguientes apartados:

  1. Definición y función genérica de las cookies.
  2. Tipo de cookies que se pretende instalar y su finalidad.
  3. Indicación de quién utiliza las cookies: solo el responsable o también otros.
  4. Detalle de cómo aceptar, denegar o revocar el consentimiento para instalarlas.
  5. Especificación sobre las transferencias de datos a otros países que realice el editor, si es el caso.
  6. Explicación sobre la lógica utilizada para elaborar perfiles y tomar decisiones automatizadas con efectos jurídicos para el usuario o que lo afecten significativamente, si es el caso, y la relevancia y consecuencias de este tratamiento.
  7. Período de conservación.

Información por capas

La guía recomienda el uso de declaraciones o avisos de privacidad por niveles, esto es, que se presenten por capas, de modo el usuario vea, en el primer nivel, la información básica mínima y pase a información más detallada y específica sobre las cookies en niveles siguientes, a los que puede llegar si tiene interés.

Aceptación o rechazo de las cookies

En la primera capa, debe presentarse, con formato de botón o mecanismo equivalente, fácilmente visible:

  • uno, con las palabras “Aceptar cookies”, “Aceptar”, “Consentir” o similar, para consentir la instalación de todas las cookies.
  • Otro, con las palabras “Rechazar cookies”, “Rechazar” o similar, para rechazar la instalación de todas las cookies (salvo las eximidas de obtener un consentimiento informado).
  • Un tercer botón, con las palabras “Configurar cookies”, “Configurar” o similar, que dirija al interesado a un panel de configuración para aceptar o rechazar cookies de forma personalizada.

Estas acciones tienen que presentarse en un lugar y formato destacados y estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas.

El panel de configuración debe evitar la granularidad máxima, que dificulta la gestión, mediante la agrupación de las cookies al menos por su finalidad, aunque también, en el caso de «cookies de terceros», recomienda agruparlas según el responsable, que debe identificarse por la marca comercial en lugar del nombre de la sociedad.

Consentimiento

Para utilizar las cookies no exceptuadas de este requisito, es necesario, en todo caso, obtener el consentimiento del usuario de forma libre e informada.

Para determinar el momento y método apropiado de obtener el consentimiento para usar cookies, dependerá del tipo de cookies que se va a utilizar, de su finalidad y de si son propias o de terceros.

Entre estos grupos, se pueden citar:

  • al solicitar el alta en un servicio;
  • durante la configuración del funcionamiento de la página web o aplicación;
  • a través de plataformas de gestión del consentimiento (consent management platform o CMP);
  • antes de descargar un servicio o aplicación ofrecido;
  • por medio del formato de información por capas.
  • al configurar el navegador.

La AEPD considera una buena práctica renovar el consentimiento y la configuración de cookies cada 24 meses, además de cada vez que se actualice la política de cookies o se modifique la finalidad o los que las utilicen.

Muro de cookies

El uso de la técnica conocida como muro de cookies, que impide el acceso al sitio web o al servicio si no se han aceptado las cookies, solo es válido cuando se informe adecuadamente al respecto al usuario y se le ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin las cookies.

Responsabilidad

Si las únicas cookies que se utilizan son para atender finalidades técnicas y están exoneradas de la obtención del consentimiento, no será necesario informar sobre su utilización ni, claro, obtener el consentimiento.

Por último, para utilizar cookies de terceros, debe firmarse un contrato entre los editores y los terceros, que regule la responsabilidad de asegurar la transparencia y la opción de los usuarios, así como las consecuencias de la revocación del consentimiento para el editor y, especialmente, para los terceros que lo obtuvieron a través del editor.

Plazo de implantación

Los nuevos criterios deberán implantarse, como máximo, el 11-1-2024, al considerar un período transitorio de seis meses para la adaptación.


1 Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
2 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
3 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.