Cuenta atrás para adaptar las cookies a los últimos criterios de la AEPD

La Agencia Española de Protección de Datos publicó hace unos meses una nueva actualización de su guía sobre el uso de cookies, a raíz de la publicación en febrero del pasado año 2023, de las Directrices 03/2022 sobre patrones engañosos en redes sociales por parte del Comité Europeo de Protección de Datos (EPDB).

La Agencia Española de Protección de Datos (‘AEPD’) publicó por segunda vez en estos últimos tres años, una nueva actualización de su guía sobre el uso de cookies. Esto refleja la constante evolución de las nuevas tecnologías y del mundo digital, en particular el sector de la publicidad online, que nos obliga a todos a estar actualizados y al día.

Esta última actualización surge de la necesidad de adaptar dicha guía a las Directrices 03/2022 sobre patrones oscuros del Comité Europeo de Protección de Datos (‘CEPD’ o ‘EDPB’), cuya finalidad es que la toma de decisiones del usuario de internet con respecto al tratamiento de sus datos mediante cookies, no se vea obstaculizada por patrones de diseño engañosos por parte de los editores y responsables de los sitios web o aplicaciones.

En general, los cambios y novedades que trae consigo esta nueva actualización y que las empresas deberán implementar, son positivos y contribuyen a reforzar la protección de la privacidad de los usuarios en línea. El plazo para implementar estos cambios finaliza el próximo jueves 11 de enero.

• Cómo cumplir con las nuevas obligaciones de la ley de cookies:

En relación al banner de cookies

- Es obligatorio que la información de primera capa que aparece en el banner, incluya la opción de rechazar todas las cookies. A modo de ejemplo, ya no serán válidos los banners que sólo dispongan de las opciones de “ACEPTAR” y “CONFIGURAR COOKIES”. El botón de “RECHAZAR TODAS LAS COOKIES” debe estar claramente visible y accesible, y no debe estar oculto o dificultarse su uso.

- Las opciones de aceptar y rechazar las cookies deben presentarse de forma clara transparente y no engañosa para el usuario (en la misma capa, al mismo nivel, al mismo tiempo, con colores y contrastes no engañosos).

- La AEPD facilita en su guía (https://www.aepd.es/documento/guia-cookies.pdf) ejemplos de banners de cookies.

En relación a la información que contiene la política de cookies:

- Se debe revisar la política de cookies para que sea clara y transparente sobre el uso de cookies en la web o aplicación. La información que contenga debe ser clara y concisa, utilizando un lenguaje sencillo y comprensible para los usuarios.

- Concretamente debe contener estos puntos:

- Qué son las cookies y su función genérica.

- Qué cookies se utilizan, indicando su tipo

- Su finalidad.

- Titular de cada cookie y si los datos recabados serán tratados por el responsable del tratamiento o por un tercero.

- Instrucciones sobre cómo aceptar y rechazar las cookies, así como sobre cómo revocar el consentimiento.

- Si se producirán transferencias internacionales de datos.

- Si las cookies se usarán para elaborar perfiles y tomar decisiones automatizadas, informando sobre la lógica utilizada y las consecuencias de las mismas.

En relación a las cookies de personalización decididas por el usuario.

Las cookies de personalización son aquellas que permiten recordar las preferencias del usuario con la finalidad de que acceda al servicio con unas características predefinidas en función de esas preferencias (idioma, aspecto o contenido del servicio en función del tipo de navegador o la región desde la que accede el usuario, etc…).

Cuando es el propio usuario quien decide sobre el uso de estas cookies no es necesario obtener el consentimiento, siempre que esos datos no se utilicen para otras finalidades. (Por ejemplo, cuando el usuario selecciona el idioma del sitio web al clicar en la opción correspondiente). En caso de querer utilizar estas cookies para otros fines como personalizar contenidos publicitarios, o elaborar perfiles de usuario, se requerirá su consentimiento.

La AEPD, en esta última actualización de la guía, añade, que “estas cookies de preferencias que afectan a la interfaz de usuario no necesariamente tendrán que ser de sesión”, ya que podría resultar engorroso tener que personalizar sus preferencias cada vez que visita el sitio web o accede a una aplicación.

En relación a la posibilidad de exigir un pago en caso de no aceptar las cookies:

La versión anterior de la guía ya recogía la posibilidad de que la no aceptación de las cookies podía impedir el acceso al sitio web o aplicación o la utilización total o parcial del servicio, siempre que se informase adecuadamente al respecto al usuario y se le ofreciese una alternativa sin necesidad de aceptar las cookies.

Esta última versión añade que dicha alternativa no tiene que ser “necesariamente gratuita”, permitiendo en cierta medida los denominados muros de pago o Paywalls. Si se cobra por no aceptar las cookies, la alternativa gratuita o el servicio equivalente que se ofrezca debe ser igual o similar al que se accede al aceptar las cookies, es decir, si el usuario no acepta el uso de las cookies, como alternativa, se le podría exigir al usuario un pago para que pueda acceder al sitio web, aplicación o utilizar el servicio.

Conclusiones

Estos cambios suponen un paso más en la protección de la privacidad de los usuarios en línea. La mayor transparencia exigida a los responsables del tratamiento es un avance, ya que los usuarios deben tener toda la información necesaria para tomar decisiones informadas sobre el uso de sus datos.

La posibilidad de cobrar por no aceptar las cookies es una medida polémica, ya que puede disuadir a los usuarios de ejercer su derecho a rechazar las cookies. Sin embargo, la AEPD ha establecido una serie de requisitos para que esta medida sea compatible con la normativa de protección de datos, como la obligación de ofrecer una alternativa gratuita o de ofrecer un servicio equivalente al que se accede al aceptar las cookies.

El lado negativo, es que las empresas pueden tener que modificar sus procesos y sistemas para cumplir con las nuevas obligaciones, exponiéndose a sanciones con mutas de entre 3.000 y 300.000 euros en caso de no hacerlo.

En definitiva, de nuevo, es necesario que las entidades titulares de sitios web y aplicaciones se adapten a las novedades presentadas por la AEPD en relación con el uso de cookies antes del próximo jueves 11 de enero de 2024.

• Hablando de cookies… Google decide finalmente eliminar las cookies para millones de usuarios de Chrome.

Los primeros usuarios ya están navegando con Chrome sin cookies; aunque esto no implique que la actividad en la Web no esté siendo registrada.

Las cookies de terceros representan el mayor problema de privacidad de Internet. Estos pequeños archivos con información sobre nuestra actividad en las páginas web que visitamos, pueden ser accesibles a terceros. Los anunciantes, incluida Google, utilizan esa información para principalmente mostrar contenido publicitario personalizado.

De hecho, Google se ha convertido en el imperio que es, por esto que estamos comentando, y hoy es el día en que han querido acabar con ellas, gracias a un nuevo sistema llamado ‘Privacy Sandbox’, que protege a los usuarios del rastreo, al mismo tiempo que facilita a los anunciantes mostrar anuncios personalizados.

Google afirma que este sistema es más privado porque esta información se queda en nuestro móvil u ordenador y no se transmite, a diferencia de las cookies de terceros que no tienen ningún tipo de control. Sin embargo, el sistema ha recibido críticas de no ser 100% privado, y ya hay otros navegadores que directamente acaban con este problema bloqueando todas las cookies de terceros.

Google afirma con esto, que ha encontrado el punto medio entre el respeto a la privacidad y los ingresos monetarios y está dispuesta a seguir adelante. Ya ha activado la nueva función en un 1% de las instalaciones de Chrome, lo que se traduce en aproximadamente 30 millones de personas navegando sin cookies en Chrome. En los próximos meses se espera que se aplique al resto de los usuarios.

Guillermo Caro

Abogado de MONLEX

gcaro@monlexabogados.es