Botón de 'Rechazar todo' visible o cobrar por no aceptar: las nuevas reglas sobre 'cookies'
La Agencia Española de Protección de Datos actualiza su guía sobre el uso de las 'cookies'. Las empresas tendrán hasta enero de 2024 para adaptarse a las nuevas obligaciones
La sede de la AEPD en Madrid.
Por
Irene Cortés
"¡Respetamos tu privacidad! Este sitio utiliza cookies propias y de terceros. Algunas son necesarias para navegar. Para habilitar o limitar categorías de cookies accesorias, o para obtener más información, personaliza la configuración". Mensajes como este se han convertido en una realidad cotidiana a la hora de navegar por internet. Desde la aprobación del Reglamento Europeo de Protección de Datos, todas las páginas webs están obligadas no solo a informar a los usuarios de que utilizan estos pequeños archivos informáticos, sino también a conseguir su consentimiento para poder recabar cierta información.
Los incumplimientos en esta materia se han convertido en uno de los focos de atención más relevantes para los organismos que vigilan la privacidad y, en especial, para el Comité Europeo sobre Protección de Datos. A mediados de 2022, publicó una directriz sobre patrones oscuros; es decir, técnicas poco éticas que utilizan algunas empresas para conseguir lo que buscan de los usuarios (en este caso, la aceptación de las cookies). Asimismo, a principios de 2023, la entidad difundió un borrador sobre las malas prácticas más habituales que cometen las compañías para esquivar estas obligaciones.
Fruto de esta investigación, la Agencia Española de Protección de Datos ha divulgado una nueva versión de su Guía sobre el uso de las cookies. En el documento, hecho público hace apenas dos semanas, el organismo adapta sus criterios a las directrices emitidas por el Comité Europeo e introduce nuevas obligaciones en esta materia. En esta línea, el organismo da un plazo de seis meses a las empresas —es decir, hasta enero de 2024— para que se adapten a las nuevas condiciones. Estas son las novedades más relevantes.
En primer lugar, la AEPD actualiza las exigencias relacionadas con los banners de cookies. Es decir, el aviso que salta una vez se entra en una página web en la que se informa del uso de las galletas informáticas y se pide el consentimiento al usuario. En este sentido, la entidad española exige a las empresas que incorporen un botón de Rechazar todoo algún mecanismo similar que permita a los visitantes dar su negativa hacia todo tipo de información que se pueda recoger y para cualquier finalidad. En el mismo sentido, el organismo determina que esa opción no debe configurarse de forma que resulte menos atractiva, aparezca oculta o tenga un diseño que pueda inducir a error a los usuarios para que acepten las cookies. Por ejemplo, que se utilicen contrastes de colores que dificulten la lectura.
Ejemplos de la APED sobre cómo debe ser un 'banner' de 'cookies'
En la misma línea, la AEPD recuerda que las organizaciones tienen el deber de ser transparentes con los usuarios, por lo que deben incluir cierta información en sus políticas y utilizar un lenguaje claro y sencillo. En concreto, indica, definir qué son estos archivos, su función genérica, datos sobre el tipo de cookies que utilizan, su finalidad, identificar a quién está detrás (es decir, si los datos recopilados por las galletas informáticas serán tratados solo por el editor o también por terceros) e instrucciones sobre cómo aceptar, denegar o revocar el consentimiento. Asimismo, las compañías también deben informar al interesado si van a realizar transferencias internacionales de sus datos y el tiempo durante el que van a conservar la información.
Por último, en el caso de que las cookies se utilicen para elaborar perfiles y tomar decisiones automatizadas "con efectos jurídicos para el usuario o que le afecten significativamente de modo similar, será necesario que se informe sobre la lógica utilizada, así como la importancia y las consecuencias previstas de dicho tratamiento", detalla la AEPD.
Por otro lado, la AEPD introduce otra novedad importante. En uno de los apartados, la Agencia menciona la posibilidad de denegar el acceso al servicio en caso de que el usuario rechace las cookies e introduce la siguiente frase: "Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies".
Una expresión con la que, según indican desde el bufete Hogan Lovells, la AEPD se suma a la corriente de otras autoridades de protección de datos de la UE (como la austriaca) y admite, aunque sutilmente, los paywalls. "De esta manera, la AEPD acepta expresamente que dicha alternativa de acceso, si el usuario no quiere otorgar su consentimiento, pueda implicar un pago o, en general, una contraprestación económica", señalan en su blog.
En todo caso, la entidad no aporta más aclaraciones o impone limitaciones sobre este punto, como sí han hecho otras autoridades de protección de datos comunitarias. Por ejemplo, indican desde Hogan Lovells, que el precio de la alternativa de pago sea razonable y justo o que las autoridades públicas no puedan acceder a este mecanismo. En su lugar, se limita a matizar que los servicios de ambas alternativas deberán ser "genuinamente equivalentes, y no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor".
Se trata de unos cambios relevantes, especialmente teniendo en cuenta que nuestra normativa prevé sanciones cuantiosas por incumplir las obligaciones en materia de protección de datos y, en concreto, las relacionadas con las cookies. En caso de ser considerada una infracción muy grave, el reglamento europeo prevé multas que alcanzan los 20 millones de euros o el equivalente al 4% de la facturación anual de la empresa. Por el momento, sin embargo, las sanciones impuestas por la Agencia por este motivo han sido calificadas de leves y las cuantías oscilan entre los 3.000 y los 300.000 euros.
"¡Respetamos tu privacidad! Este sitio utiliza cookies propias y de terceros. Algunas son necesarias para navegar. Para habilitar o limitar categorías de cookies accesorias, o para obtener más información, personaliza la configuración". Mensajes como este se han convertido en una realidad cotidiana a la hora de navegar por internet. Desde la aprobación del Reglamento Europeo de Protección de Datos, todas las páginas webs están obligadas no solo a informar a los usuarios de que utilizan estos pequeños archivos informáticos, sino también a conseguir su consentimiento para poder recabar cierta información.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F31b%2F2d6%2F378%2F31b2d63785f70057bf9680c2da8a7e41.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fdfa%2Fad0%2Fe83%2Fdfaad0e83259e34d15f94b8d4fba081e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F561%2Fd90%2F6fd%2F561d906fde8f0d68072d7532f318a792.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F561%2Fd90%2F6fd%2F561d906fde8f0d68072d7532f318a792.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F2ba%2F7a0%2Ff01%2F2ba7a0f01306a8d9bc43045ca0de4a7a.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F439%2Fefd%2F229%2F439efd2293b7ad1c0f67bd09f945c17b.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fda9%2Fe53%2F4ad%2Fda9e534ad5c714114082e8ccea614edc.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fdd7%2F1c7%2Fb35%2Fdd71c7b356ef29622e66257cd6e58180.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fbcd%2Fe4d%2F1ee%2Fbcde4d1ee3b873bdb93b53a06211f0f2.jpg)