El año 2023 será recordado sin duda como un antes y un después en las buenas prácticas sobre el uso de las cookies. Después de que el pasado 18 de enero de 2023, el Comité Europeo de Protección de Datos (CEPD) publicase el Informe del trabajo realizado por el Cookie Banner Taskforce, en el cual establecía una serie de recomendaciones a la hora de implementar el banner de cookies en las páginas web, la Agencia Española de Protección de Datos (AEPD) ha decidido no quedarse atrás y actualizar su Guía sobre el uso de las cookies para adaptarla a las Directrices 03/2022 del CEPD sobre patrones engañosos en redes sociales publicadas el pasado 14 de febrero de 2023.
Entre las obligaciones que recoge la Guía para aquellas páginas web que empleen cookies, se encuentran las siguientes:
– Información en una primera capa sobre el uso de cookies, en forma de banner, que deberá contener siempre los tres botones de “Aceptar”, “Rechazar” o “Configurar” las cookies, sin influenciar al usuario a aceptarlas todas, ya sea por la ausencia del botón de “Rechazar” en la misma capa, ya sea por técnicas engañosas que juegan con el color o contraste del texto y botones del banner. Además de contar con información genérica sobre el uso de las cookies, el banner deberá remitirse mediante un enlace a una segunda capa de información en forma de Política de cookies.
– Contar con una Política de cookies (segunda capa de información) transparente en el sentido del artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y comercio electrónico (LSSI), de tal forma que se proporcione a los usuarios, como mínimo, información relativa a: (i) Qué son las cookies; (ii) Qué tipos de cookies se utilizan en la página web y con qué finalidad; (iii) Identificación de quién utiliza las cookies (editor y/o terceros); (iv) Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies; (v) Existencia de posibles transferencias internacionales de datos; (vi) Posibilidad de elaboración de perfiles, en su caso; (vii) Periodo de conservación, y; (viii) Cualquier otra información requerida por el artículo 13 del RGPD.
– Al recabar el consentimiento del usuario para la instalación de cookies en su navegador, se deberá garantizar que el mismo se haya otorgado de manera libre e informada, siendo necesario: (i) Asegurar la trazabilidad de dicho consentimiento, que podrá consistir en conductas variadas como un mero click del usuario; (ii) Dicho consentimiento debe ser expresión de una acción inequívocamente afirmativa, no considerándose por tal la acción de continuar navegando por el sitio web o la existencia de casillas premarcadas; (iii) El consentimiento deberá ser tan fácil otorgarlo como revocarlo, lo que podría garantizarse mediante un enlace o icono flotante que lo permita; (iv) La aceptación de la Política de cookies debe ser independiente de la aceptación de la Política de privacidad o demás términos y condiciones de la página web.
Asimismo, se han introducido una serie de modificaciones de gran trascendencia respecto a la antigua versión de la Guía:
– En el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas (por ejemplo, la elección del idioma de la web o la moneda en la que desea realizar transacciones), se trata de cookies técnicas que no requieren consentimiento, sin que puedan ser utilizadas para otras finalidades.
– Cuando sea el editor el que adopte este tipo de decisiones sobre las cookies de personalización basándose en la información que obtiene del usuario deberá informar sobre ello ofreciendo de forma destacada la opción de aceptarlas o rechazarlas. En este caso, el editor tampoco podría utilizarlas para otras finalidades.
– Respecto a los muros de cookies, si bien por norma general el acceso a los servicios y funcionalidades de una página web no debe supeditarse a la aceptación por el usuario del uso de cookies, podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies.
Los criterios recogidos en la Guía deberán implementarse, a más tardar, el 11 de enero de 2024. El periodo transitorio de 6 meses para adaptar los sitios web y marketplaces a los nuevos criterios en el uso de cookies ya ha comenzado. No hacer esta adaptación podría conllevar la imposición de multas de hasta 30.000 euros por la infracción de la LSSI.
Podrá acceder a la Guía accediendo al siguiente enlace: https://www.aepd.es/es/documento/guia-cookies.pdf