Analizamos el impacto de la Guía de Cookies que ha publicado la AEPD para esclarecer su política de uso y autorizaciones
La Agencia Española de Protección de Datos (AEPD) ha publicado la tan esperada nueva Guía de Cookies para esclarecer y aportar algo más de luz en esta tan controvertida materia. Y, en un primer análisis, parece que no ha dejado contento a nadie.
Las cookies son pequeños archivos de texto que las páginas web pueden utilizar para hacer más eficiente la experiencia del usuario. De entrada, llama la atención el lanzamiento de esta guía a escasos meses de la publicación del Reglamento E-Privacy que tiene como objetivo aumentar la seguridad de los servicios digitales y la confianza que los ciudadanos depositan en ellos. Veremos si la Agencia Española de Protección de Datos rectifica o lanza una nueva actualización de su nueva guía una vez publicado este nuevo texto normativo que se aplicará en la Unión Europea.
En este sentido, la controversia viene dada por el consentimiento y la instalación de cookies, que en octubre de 2019 se avivó con la publicación de sendas resoluciones que han sorprendido bastante en el sector de la privacidad y protección de datos.
Hablamos de las resoluciones del Tribunal de Justicia Unión Europea (TJUE) en una cuestión prejudicial y otra de la Agencia Española de Protección de Datos, que disipan toda duda acerca de la invalidez de la fórmula “si sigues navegando, consideramos que aceptas el uso de las cookies” y exigían el consentimiento como base de legitimación para el uso de cookies, cuestión que, como veremos más adelante, en esta nueva guía de cookies de la AEPD no queda tan clara como se presagiaba tras la lectura y análisis de los citados fallos.
Respecto a la nueva guía de cookies de la AEPD, que tiene carácter orientativo, si hiciéramos un análisis crossover con la antigua versión publicada en abril de 2013, lo más importante a destacar sería lo siguiente:
Información
La comunicación debe ser concisa, transparente e inteligible; se debe utilizar un lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión; y la información debe ser de fácil acceso. Así, vuelve la AEPD a apostar por el modelo de información por capas.
La guía sobre el uso de cookies señala que la primera capa de información siempre deberá identificar al editor responsable del sitio web, determinar las finalidades para las que se utilizarán las cookies, así como aportar datos sobre si éstas son propias o también de terceros asociados a él, entre otros asuntos.
En este sentido, tal y como ya señalo la AEPD en su procedimiento PS/00300/2019, se debe facilitar un panel de selección donde se pueda habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva, punto importante a tener en cuenta en la actualización de las cláusulas informativas de cookies de las páginas web.
Consentimiento
La nueva guía de cookies, sin duda ha ganado protagonismo por este punto, y es que en ella se describen distintas modalidades para otorgar consentimiento en función del tipo de cookies, la finalidad de las mismas y de si son propias o de terceros.
La AEPD dispone en su guía que, en virtud del artículo 4 del GDPR, debe darse un consentimiento válido para cada finalidad específica por medio de una acción afirmativa claramente realizada por el usuario con plena conciencia de las consecuencias de dicha acción.
Y es en este terreno donde ha surgido la polémica al afirmar la AEPD que la formula “seguir navegando” puede considerarse una opción de conseguir el consentimiento de forma válida.
Para que la acción de continuar con la navegación pueda considerarse un consentimiento válido, el aviso deberá insertarse en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pueda existir seguridad de que el aviso no ha pasado desapercibido para el usuario. Asimismo, será necesario, para que el consentimiento se considere otorgado, que el usuario realice una acción que pueda calificarse como una clara acción afirmativa.
La AEPD establece en su propia guía que podrá considerarse una clara acción afirmativa, navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación.
En cuanto a los sitios web en los que el usuario objetivo es menor de catorce años, se exigirá a los responsables de dichas webs que, atendiendo al principio de responsabilidad proactiva, realicen un esfuerzo adicional para verificar que el consentimiento del usuario es dado por sus padres o tutores legales.
Por último y también en relación con el consentimiento, otro aspecto a destacar de esta guía, que tiene una importante versión práctica en cuanto a la actualización y adecuación de las políticas de cookies, es el uso de CMP’s (Consent Management Platform). Los CMP permiten obtener rápidamente el consentimiento de los usuarios / visitantes de la web que han autorizado al responsable de la web para que las pueda usar y en concepto de para qué los puede usar. Además, esta plataforma se encarga de transmitir ese consentimiento a todos los colaboradores del responsable que insertan cookies en su página web, por lo que resulta de gran utilidad.
Visto este pequeño análisis, auguramos un gran revuelo de dudas respecto a la actualización de las políticas de cookies en las webs, adecuadas a las últimas indicaciones dadas por la AEPD en la citada guía, y es que bajo el prisma de mi humilde opinión y tirando de la tan recurrente analogía repostera, esta guía de cookies debería de haber aguantado unos minutos más en el horno, quizás la publicación de la misma ha sido algo precipitada, propulsada por las guías de cookies publicadas por sus homólogas autoridades de control en materia de protección de datos de Reino Unido, Alemania y Francia.
Siguiendo el espíritu de homogeneización normativa del RGPD y del Reglamento E-Privacy, resulta cuanto menos singular que en este tema tan controvertido como son las cookies, sobre las que cada país lanza sus recomendaciones al respecto, puedan llegar a ser contradictorias en determinados supuestos y no se llegue a un acuerdo común respecto de estas.
Quedamos pendientes de la publicación del Reglamento E-Privacy que se espera para el primer trimestre de 2020 y seguiremos estando atentos a cualquier novedad en la materia que pueda afectar a la correcta adecuación de las políticas de cookies para manteneros informados y ayudar a nuestros clientes en la adecuación de sus páginas web y cumplir así con la normativa vigente en materia de privacidad y protección de datos.