¿Cumple la web de tu empresa con la nueva media del uso de las cookies?
La AEPD actualiza su Guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos.
En julio de 2023, la Agencia Española de Protección de Datos (AEPD) actualizó su Guía sobre el uso de cookies para cumplir con las nuevas directrices 03/2022 del Comité Europeo de Protección de Datos (CEPD/EDPB) relacionadas con patrones engañosos. Estos nuevos criterios de la Guía deben implementarse antes del 11 de enero de 2024, con un período transitorio de seis meses a partir del 11 de julio de 2023, durante el cual se deben realizar los ajustes necesarios en páginas web, aplicaciones o plataformas para el uso de cookies.
Entre las novedades más destacadas de la Guía, la AEPD recomienda presentar la información en capas, utilizando un lenguaje claro y sencillo en relación con las cookies. Una novedad importante es la obligación de incluir en la primera capa informativa de las cookies (en el banner) la opción o botón de "RECHAZAR", "RECHAZAR LAS COOKIES" u opciones similares. Esto significa que ya no se podrán ofrecer únicamente las opciones de aceptar cookies.
Por tanto, todo aviso de cookies debería mostrar tres opciones en la primera capa:
- Aceptar cookies
- Rechazar cookies (excepto las cookies esenciales para el funcionamiento de la web)
- Configurar/personalizar cookies (el informe señala que lo adecuado es que dentro de configuración todas las opciones de cookies estén desactivadas, y que sea el usuario quien decida cuales desea instalar).
Todas las acciones relacionadas con las cookies deben presentarse en un lugar y formato destacados, asegurando que tanto la opción de aceptar como la de rechazar estén en el mismo nivel de visibilidad, evitando que sea más complicado rechazarlas que aceptarlas. Esto implica, por ejemplo, evitar el uso de colores que puedan incentivar a aceptarlas de manera inconsciente.
La nueva Guía de cookies proporciona ejemplos concretos sobre cómo deben mostrarse estas opciones, incluyendo recomendaciones sobre el uso de colores, el tamaño y la ubicación adecuada.
Además, se establece que la información de segunda capa, relacionada con la "Política de cookies", debe estar permanentemente accesible en la página web. En dicha "Política de cookies", se debe incluir la siguiente información:
- Consentimiento informado: Obtener el consentimiento informado del usuario es fundamental antes de almacenar o acceder a información en su equipo a través de cookies. Esto implica que los usuarios deben recibir información clara y completa sobre el uso de cookies en la web y dar su consentimiento activo antes de que las cookies se activen, por ejemplo, a través del botón "aceptar cookies". La Agencia Española de Protección de Datos (AEPD) considera como buena práctica renovar el consentimiento y la configuración de las cookies cada 24 meses, así como cada vez que haya una actualización de la política de cookies. Otra novedad establecida en la Guía es en relación al llamado "muro de cookies", que impide el acceso al sitio web o servicio si el usuario no acepta las cookies. La nueva Guía aclara que dicha alternativa no tendrá por qué ser necesariamente gratuita.
- Información clara y accesible: La política de cookies debe ofrecer una definición clara de qué son las cookies, así como proporcionar información detallada sobre los tipos de cookies utilizadas en el sitio web, sus objetivos, quién tiene acceso a los datos recopilados y si se comparten con terceros. Además, se debe explicar de manera transparente cómo los usuarios pueden gestionar o desactivar las cookies.
- Finalidades específicas: Es crucial proporcionar una especificación clara de las finalidades para las cuales se utilizan las cookies en la web. Por ejemplo, las cookies pueden emplearse con objetivos como análisis estadísticos, personalización de contenidos, publicidad, seguimiento de comportamiento, entre otros.
- Cookies de terceros: En caso de que el sitio web utilice cookies de terceros, como las de servicios de análisis o publicidad, es esencial que la política de cookies identifique claramente a estos terceros y ofrezca enlaces directos a sus respectivas políticas de privacidad y cookies.
- Plazos de conservación: Es importante especificar el período de tiempo durante el cual las cookies permanecerán activas en el equipo del usuario. Esto incluye, por ejemplo, diferenciar entre cookies de sesión (que se eliminan después de cerrar el navegador) y cookies persistentes (que permanecen en el dispositivo durante un período determinado).
- Revocación del consentimiento: Es esencial que los usuarios tengan la capacidad de retirar su consentimiento de manera sencilla en cualquier momento. La política de cookies debe proporcionar instrucciones claras sobre cómo hacerlo y cómo eliminar o bloquear las cookies mediante la configuración del navegador.
- Vinculación con la política de privacidad: La política de cookies debe estar vinculada o incluir la política de privacidad de la página web para asegurar que los usuarios tengan acceso a información completa sobre el tratamiento de sus datos personales.
- Protección de menores de edad: Si la página web está dirigida a menores de edad o se recopilan datos de ellos, es necesario obtener el consentimiento de los padres o tutores legales antes de utilizar cookies u otras tecnologías de seguimiento.
- Actualizaciones de la política de cookies: Es esencial informar a los usuarios sobre la posibilidad de que la política de cookies pueda ser modificada y cómo se les notificará de los cambios.
El incumplimiento de las obligaciones y criterios establecidos en la Guía suponen la vulneración del art. 22 de la LSSICE, constituyendo una infracción leve (art. 39.1.c LSSICE) o grave (art. 39.1.b LSSICE), sancionable con multas de hasta 150.000 euros.
Si bien la Guía sobre el uso de las cookies recomienda los puntos analizados anteriormente, la misma supone un cambio de criterio de la AEPD, que obliga a las empresas españolas a revisar y actualizar sus avisos informativos sobre el uso de las cookies.
En Baker Tilly contamos con un equipo experto en materia de protección de datos y Compliance normativo, y recalcamos la importancia de asesorarse adecuadamente en esta materia para evitar sanciones importantes de la AEPD.