Seguimos a vuelta con las cookies: Nueva guía sobre el uso de cookies de 2019 publicada por la AEPD y nuevos banners informativos recomendados

No comments

Como ya hemos mencionado en otros post sobre este tema, no existe la mal llamada Ley de cookies, sino que la instalación de este tipo de archivos en los navegadores de los usuarios de páginas web se encuentra regulada en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (más conocida como LSSI):

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

La redacción de este artículo 22.2 debería ser modificada, ya que todavía hace referencia a la ya derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, pero mientras tanto, dicha referencia debe entenderse realizada a la actual Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantías de los derechos digitales (en adelante LOPD).

Si bien cualquier tipo de consulta sobre la aplicación de la LSSI puede realizarse al Ministerio de Economía y Empresa a través de la página web http://www.lssi.gob.es, siendo dicho órgano el encargado de imponer las sanciones por incumplimiento de dicha norma, la interpretación, las consultas y, en su caso, la imposición de sanciones por incumplimiento del artículo 22.2 de la LSSI corresponde a la Agencia Española de Protección de Datos (en adelante AEPD) tal y como dispone el artículo 43 de la LSSI.

Para cumplir con las funciones especificadas en el párrafo anterior, la AEPD publicó el 29 de abril de 2013 una Guía sobre el uso de las cookies para establecer las pautas y unificar criterios en relación con la aplicación del articulo 22.2 LSSI; sin embargo, los siguientes hechos dieron lugar a la obsolescencia de esta primera guía:

  • Publicación del Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD); y comienzo de su aplicación a partir del 25 de mayo de 2019.
  • Publicación y entrada en vigor de la ya mencionada LOPD de diciembre de 2018.
  • Documento de trabajo 02/2013 relativo a las orientación sobre cómo obtener el consentimiento para cookies del GT29 (ahora transformado en Comité Europeo de Protección de datos).

Todas las nuevas interpretaciones que desde distintas instancias se iban publicando en relación al uso de las cookies dejaron derogados en la práctica ciertos aspectos de la Guía publicada por la AEPD en 2013 lo que causó que a principios de 2018 dicha agencia eliminara esta guía de su página web (Sin embargo, la guía de 2013 puede seguir descargándose de diversas páginas web institucionales como por ejemplo desde la página web del Ministerio del Interior, lo que sin dudas puede llegar a causar un importante perjuicio a aquellos administrados que puedan llegar a utilizar este documento derogado).

Finalmente, la AEPD publicó este mes de noviembre, una nueva Guía sobre el uso de las cookies (2018) adaptada tanto a la nueva normativa (RGPD y LOPD) como a las directrices de la Comisión Europea de Protección de Datos y a la sentencia del TJUE. Este nuevo documento, si bien mantiene las líneas generales de la anterior guía de 2013, presenta algunas novedades que han de tener en cuenta los responsables de las páginas web.

Siguiendo lo dispuesto en el artículo 22.2 LSSI ambas guías establecen que será necesario obtener el consentimiento previo e informado del usuario antes de proceder a la instalación de cookies en su navegador.

La Guía de 2013 realizaba una mención genérica sobre los requisitos con los que debe contar dicho consentimiento al disponer que:

La instalación de la cookie podrá tener lugar cuando el usuario disponga de la información preceptiva sobre las cookies y la forma de obtención del consentimiento y el mismo se preste de acuerdo con los procedimientos indicados. En este sentido, la instalación de las cookies debería ir acompañada por un consentimiento informado de los usuarios para tal instalación, de forma que los destinatarios tengan la oportunidad de examinar la información y decidir si permiten o no la implantación de estos dispositivos.”

En relación a la obtención del consentimiento, la Guía de 2013 establecía varios métodos para obtener el consentimiento, centrándonos en este punto en el más común de todos ellos relativo a la información por capas:

  1. Botón de “Aceptación” en la primera capa de información (consentimiento expreso)
  2. Continuar utilizando la página web sin manifestar si acepta o no la instalación de las cookies (consentimiento tácito). A estos efectos se entendía por “continuar utilizando la página web” cuando: a) El usuario hubiera utilizado la barra de desplazamiento (es decir, realizar scroll), siempre y cuando la primera capa de información sobre las cookies fuera visible; y b) El usuario hubiera clicado sobre cualquier enlace o botón de la página web.

Siguiendo las líneas de esta Guía de 2013 sería perfectamente válido la inclusión en la primera capa informativa de un banner en la página web similar a este:

Banner cookies guia AEPD 2013
Banner cookies guia AEPD 2013

Partiendo de una situación en la que la página web no instala en el navegador del usuario ningún tipo de cookie que necesite consentimiento previo se mostraría el banner anterior en el que se destacan los siguientes elementos:

  1. Enlace a la segunda capa informativa (AQUÍ) en la que se incluiría información detallada sobre el funcionamiento de las cookies, los tipos de cookies que existen, tipos de cookies que se utilizan en la página web, finalidad de estas, etc.
  2. Botón “ACEPTAR COOKIES” pare recabar el consentimiento expreso del usuario en relación a la instalación de las cookies no exceptuadas (normalmente cookies analíticas o de publicidad comportamental).
  3. Botón “RECHAZAR COOKIES” para el supuesto en que el usuario no quiera que la página web instale las cookies no exceptuadas en su navegador.
  4. Información sobre el consentimiento tácito del usuario en relación con la instalación de las cookies no exceptuadas en el supuesto en que continúe navegando por la página web (ya sea haciendo scroll o bien pulsando en algún enlace)
  5. Botón de cerrar banner “[X]” cuya pulsación era entendida como seguir navegando en la página web y por lo tanto se consideraba como un consentimiento tácito para la instalación de las cookies no exceptuadas.

Cabe señalar que la fórmula de obtención del consentimiento reflejada en la imagen anterior es un mero ejemplo, pudiendo optar por otras formulas distintas siempre y cuando se bloquee la instalación de las cookies no exceptuadas hasta que el usuario otorgue su consentimiento por cualquiera de las opciones reseñadas en el párrafo anterior. Sin embargo, una gran mayoría de las páginas web no cumplían con las pautas establecidas en esta guía de 2013 y, por lo tanto, tampoco cumplían con lo dispuesto en el artículo 22.2 de la LSSI.  En su día, desde Click Jurídico realizamos un análisis distintas páginas web institucionales (Congreso, Senado, Moncloa y Boletín Oficial del Estado) para llegar a la conclusión de que dichas páginas no cumplían con lo dispuesto en el 22.2 en relación a las cookies que instalaban y a la información que proporcionaban a los usuarios sobre estas.

No es el objeto de este artículo volver a analizar estas páginas web institucionales para comprobar detenidamente si estas cumplen actualmente con la normativa en materia de cookies de acuerdo con las directrices establecidas por la AEPD en la nueva Guía de 2019; sin embargo, en líneas generales podemos afirmar que siguen sin cumplir con lo dispuesto en el artículo 22.2.

Una de las principales diferencias entre la Guía de 2013 y la Guía de 2019 es la relativa al consentimiento tácito de los usuarios mediante la formula de continuar navegando por la web tras mostrar la primera capa de información sobre las cookies que se emplean en esta. En este sentido, las directrices del CEPD se mostraban contrarias a la validez de este tipo de consentimiento, optando por una fórmula en la que solo se permita el consentimiento expreso. Finalmente, la Guía de 2019 se posicionó en un punto intermedio entre la postura del CEPD y de la anterior Guía y estableció como válidas las distintas formas de obtención del consentimiento existentes estableciendo algunas precisiones al respecto. En este sentido, los ejemplos de banners de información sobre las cookies que se recogen en esta Guía de 2019 son los siguientes:

EJEMPLO 1

Banner-1-cookies-guia-AEPD-2019
EJEMPLO 1 – Guía cookies 2019

En este primer ejemplo de aviso podemos observar que, a diferencia del ejemplo anterior relativo a la Guía de 2013, no se ofrece la opción de cerrar el banner mediante la “[X]”, y en el caso en se incluyera dicho botón en el banner la pulsación de este no sería una opción válida como método de obtención del consentimiento para la instalación de las cookies y su función sería la misma que la del botón “Rechazar cookies”. Asimismo, otra diferencia relevante es que en este banner no se incluye la información relativa a la prestación del consentimiento tácito mediante la continuación de la navegación en la página web mediante scroll o pulsando alguno de los enlaces de esta ya que, como veremos a continuación, este tipo de consentimiento no es compatible con la opción de los botones de “Aceptar cookies” y “Rechazar cookies”. En definitiva, si no se pulsa el Botón “Aceptar cookies”, el usuario no esta autorizando el uso de cookies no exceptuadas a pesar de que no pulse el botón “Rechazar cookies” y continúe navegando por la web.

EJEMPLO 2

Banner 2 cookies guia AEPD 2019
EJEMPLO 2 – Guía cookies 2019

En este segundo banner, al igual que en el anterior, si el usuario no pulsa el botón “Aceptar” no se podrían instalar cookies no exceptuadas, aunque el usuario ignore el aviso y continúe navegando por la página web o cierre el banner en el caso en que se habilite la “[X]”.

El segundo de los enlaces debería redirigir hacia una página en la que se permita al usuario seleccionar de forma granular que tipo de cookies no exceptuadas acepta que sean instaladas en su navegador, solamente a partir del momento, y no antes, en que el usuario configure sus preferencias en relación a las cookies podrán instalarse aquellas cookies no exceptuadas en su navegador.

EJEMPLO 3

Banner-3-cookies-guia-AEPD-2019.jpg
EJEMPLO 3 – Guía cookies 2019

De acuerdo con lo dispuesto en la Guía de 2019 la obtención del consentimiento mediante la modalidad de “seguir navegando” (haciendo click en cualquiera de los enlaces de la página web salvo en el enlace que lleva a la segunda capa de información o realizando scroll) no será válida si en dicho banner además se incluye un mecanismo de aceptación explícita como por ejemplo los botones de aceptación que se muestran en los ejemplos 1 y 2. En este ejemplo 3, en el caso en que se habilite la “[X]” para cerrar el banner si que se consideraría una forma válida de otorgar el consentimiento. Este tipo de banners no serían válidos para aquellos supuestos en los que los datos que recopilen las cookies sean considerados datos de categorías especiales de acuerdo con la definición establecida en el artículo 9 del RGPD.

A pesar de que cada una de las fórmulas expuesta en estos tres ejemplos sería una formula válida de obtención del consentimiento de acuerdo con el criterio de la AEPD, la primera de las opciones sería la más fácil de configurar y la que menos problemas podría llegar a generar. De todos modos, sería necesario realizar un análisis pormenorizado de cada página web y de las cookies -tanto exceptuadas como no exceptuadas- que instala en los navegadores para poder realizar un efectivo cumplimiento del artículo 22.2 LSSI ya sea mediante la inclusión en la mima del banner con la primera capa informativa como mediante la redacción de una completa política de cookies que actúe como la segunda capa informativa, sobre la cual hablaremos en el próximo post.

Artículos relacionados:

Las páginas web del Congreso y del Senado incumplen la normativa española en materia de cookies El Gobierno de España incumple sistemáticamente la normativa en materia de cookies Default ThumbnailRegulación de las «cookies» en España Dictamen del GT29 sobre drones y privacidad de datos Default ThumbnailMás sobre criptomonedas. ¿Qué son, para que sirven, quién las utiliza? – Voces de Ferrol