El pasado 28 de Julio de 2020 la Agencia Española de Protección de Datos (AEPD) publicó una actualización sobre la Guía sobre el uso de cookies con el claro objetivo de actualizar los criterios de la anterior Guía, publicada el 12 de noviembre de 2019. Traen aparejados ciertos cambios de criterios con respecto a lo establecido anteriormente aunque adhiriendose a las interpretaciones que realizan otras autoridades de control de la Unión Europea.

Debemos resaltar para comenzar con la presente nota informativa que la AEPD establece el 31 de octubre de 2020 como fecha en la que las medidas que desarrollaremos a continuación, pueden ser requeridas, siendo responsabilidad de los sujetos obligados, el llevar a cabo las acciones pertinentes para hacer efectivo su cumplimiento.

Además de resaltar la importancia de informar debidamente a los usuarios de la naturaleza y finalidad de las cookies, en la Guía podemos encontrar las siguientes novedades:

1. Requerimiento de una acción positiva por parte del usuario para considerar válido el consentimiento del mismo. En este sentido, se suprime la mera navegación y las casillas premarcadas como método de consentimiento válido.

2. Se han de implementar mecanismos para que el rechazo a las cookies sea igual de accesible que la aceptación. La inclusión de un botón o mecanismo para rechazar todas las cookies es necesaria.

3. En caso de atender a cookies que traten datos de categorías especiales, se ha de informar de manera separada, incluyendo la categoría especial objeto de utilización, debiendo el usuario aceptar la utilización de dichas cookies de manera separada.

4. Se prohíbe con carácter general el uso de determinados “muros de cookies” (Cookie Walls). Únicamente podrá ser considerado válido, en caso de que: (i) el usuario sea informado correctamente, (ii) se ofrezca alternativa de acceso al servicio ofertado, sin que las cookies sean aceptadas, y (iii) sean ofertados por el mismo editor.

5. En caso de utilizar cookies de terceros, se establece la posibilidad de informar de que las mismas podrán ser eliminadas a través de los sistemas ofrecidos por dichos terceros, así como a través de la configuración en el navegador, como mecanismos adicionales a los implementados en el configurador de cookies.

Resumen de los requisitos de cumplimiento

1. Cookies exentas del requisito del consentimiento informado

Sólo estarán exentas las cookies utilizadas con el único fin de llevar a cabo la tramitación de una comunicación a través de una red de comunicaciones electrónicas o estrictamente necesarias para prestar un servicio que haya sido solicitado expresamente por el usuario. En este sentido, la AEPD establece el alcance exacto del artículo 22.2 de la Ley de Servicios de la Sociedad de la Información según el cual las cookies sólo pueden ser utilizadas con el consentimiento informado del usuario.

2. Información que debe facilitarse

El artículo 22.2 de la LSSIA especifica que, antes de solicitar su consentimiento, el usuario debe obtener información clara y completa sobre el uso de cookies y, en su caso, sobre el tratamiento de sus datos personales de conformidad con la normativa sobre protección de datos personales. El usuario ha de ser capaz de comprender el mecanismo y las finalidades de las cookies utilizadas a través de un sitio web.

Así y dado que la información ha de facilitarse en una primera fase para que el consentimiento sea válido, la AEPD recomienda su visualización en dos capas, de forma que los datos esenciales sobre el uso de cookies aparezcan de forma automática en un banner o en un plataforma de gestión de consentimiento (“CMP” o “Configurador de Cookies”) desde el momento en que el usuario acceda a la página web, mientras que en una segunda capa (“Política de cookies”) se puede encontrar más información a la que el usuario puede acceder de manera voluntaria.

La primera capa ha de incluir los siguientes detalles:

a) identidad del editor del sitio web (sólo un nombre o marca comercial; no será necesario un nombre de empresa registrad, ya que esta información estará disponible en una segunda capa).

b) Los fines para los que se utilizarán las cookies

c) Indicación acerca de si las cookies serán utilizadas unicamente por el editor (cookies propias) o también por terceros (cookies de terceros).

d) información sobre el tipo de datos utilizados con fines publicitarios, en su caso

e) la forma en que el usaurio podrá consentir o rechazar el uso de cookies (a continuación se explican las condiciones para la obtención del consentimiento)

f) un enlace claramente visible a la política de cookies.

En cuanto a la segunda capa o política de cookies, debe ser fácil y permanentemente accesible desde cualquier sección del sitio web y reunir la información necesaria para que el usuario medio del sitio web comprenda cómo funcionan las cookies y para qué se instalarán, junto con toda la información requerida por el artículo 13 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos) en el caso de que se recojan datos personales.

3. Condiciones para el consentimiento

La AEPD recuerda que, en virtud del artículo 4 del Reglamento General de Protección de Datos Personales, debe darse un consentimiento válido para cada una finalidad específica por medio de una acción afirmativa claramente realizada por el usuario con plena conciencia de las consecuencias de dicha acción. Por lo que según la nueva actualización:

a) debe implementarse un sistema para aceptar granularmente las cookies. El usuario ha de tener la posibilidad de aceptar o rechazar todas las cookies o de seleccionar las finalidades concretas para las que pueden instalarse las cookies. Esto se puede conseguir a través de un Configurador de cookies o Consent Management Platform. 

b) debe ser tan fácil de retirar como de dar su consentimiento. En este sentido, bien en la primera capa o en la segunda capa se debe facilitar un botón para rechazar tosas las cookies. Para satisfacer este requisito, igualmente en la segunda capa puede implementarse un botón para guardar la elección realizada por el usuario (debiendo indicar expresamente que, si el usuario guarda su elección sin haber seleccionado ninguna cookie, este equivaldrá al rechazo de todas las cookies).

c) de igual manera, no se deberá proceder a la instalación de ninguna cookie no necesaria si el usuario no ha dado previamente su consentimiento.

d) no servirá el consentimiento por inacción o por continuar la navegación.

4. Condiciones aplicables al consentimiento del menor

Para aquellos sitios web en los que el usuario medio es menor de catorce años, se exigirá a los editores que realicen un esfuerzo adicional para verificar que el consentimiento del usuario es dado por sus padres o tutores legales. Además, tendrá en cuenta la necesidad de reforzar las garantías de protección de datos de los usuarios, especialmente en relación con el principio de minimización de datos.

5. Posibilidad de denegar el acceso si no se da el consentimiento

No podrán condicionarse el acceso a una web o acceso a servicios con la aceptación de la instalación de cookies. No obstante, podrán existir determinados supuestos en los que la noa ceptación de cookies impida el acceso al sitio web, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies.

6. Responsabilidad

Tanto el editor como los terceros que gestionan las cookies como responsables del tratamiento habrán de estar coordinados para el efectivo cumplimiento de estas tareas. En este sentido, la gestión de las responsabilidades de información y gestión del consentimiento, sea cual fuere la relación entre las partes, podrá definirse contractualmente aunque la responsabilidad administrativa exigible ante las autoridades de control por el cumplimiento de las ogligaciones derivadas del uso de cookies corresponde a cada parte obligada y no es desplazable contractualmente.