Cookies en el horno: última llamada para su cumplimiento

El pasado mes de julio la Agencia Española de Protección de Datos actualizó su Guía sobre el uso de las cookies, para alinearse con las Directrices europeas 03/2022 del Comité Europeo de Protección de Datos (CEPB) sobre patrones engañosos en plataformas de redes sociales.

Estas Directrices brindan recomendaciones prácticas a proveedores, responsables y usuarios de plataformas de redes sociales sobre cómo evaluar y evitar los “patrones de diseño engañosos” que infringen los requisitos del Reglamento General de Protección de Datos (RGPD).

Entonces, ¿cómo impactarán estos cambios en la forma en que mi organización proporciona información sobre cookies a los usuarios?

Tras la incorporación de las consideraciones del CEPB en la Guía de Cookies, aplicables a todos los prestadores de servicio de la sociedad de la información, se ha señalado un plazo máximo de adecuación  hasta el 11 de enero del 2024, como ha señalado la propia AEPD.

Los prestadores de servicios de la sociedad de la información deberán evitar los patrones engañosos al informar sobre cookies a los usuarios, como la sobrecarga de opciones, omisión de información, señales visuales contradictorias, bloqueo de gestión de datos, diseños poco claros y oscuros.

La información facilitada deberá ser concisa, transparente, inteligible, en un lenguaje claro y sencillo y de fácil acceso.

Para ello, se proporcionará información por capas:

1ª CAPA:

• Identificación del responsable del sitio web (sin necesidad de denominación completa en este apartado).
• Identificación de la finalidad de las cookies utilizadas.
• Información sobre si las cookies con propias, de terceros o ambas.
• Información sobre el tipo de datos recopilados.
• Opciones para aceptar, rechazar y configurar las cookies.
  • Aceptar cookies: Mediante términos sencillos como “Aceptar”, “Consentir”, “Sí”.
  • Rechazar cookies: Mecanismo similar al de aceptar, excepto para cookies exentas de consentimiento.
  • Configuración de cookies: No necesariamente similar a los mecanismos anteriores, pero claramente visible, llevando a un panel de configuración.
• Enlace visible a una segunda capa para obtener más información.

No resultará válida la aceptación automática de cookies al continuar navegando, ni se sugerirá que no aceptar impide la navegación.

Además, no se permitirán colores o contrastes que generan confusión al usuario y que induzcan a consentir involuntariamente.

2º CAPA:

• Definición y función genérica de las cookies
• Información sobre tipo de cookies utilizadas y sus finalidades:
  • Cookies técnicas: exentas de consentimiento (párrafo 3 artículo 22.2 LSSI). El Dictamen 4/2012 del GT29 establece como cookies técnicas las cookies de sesión, de autenticación, cookies de seguridad de acceso, de sesión del reproductor multimedia, personalización de interfaz del usuario…
  • Cookies de personalización: En el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas (por ejemplo, la elección del idioma de la web o la moneda en la que desea realizar transacciones), se trata de cookies técnicas que no requieren de consentimiento, sin que puedan ser utilizadas para otras finalidades.
  • Cookies de análisis o medición; de publicidad comportamental, que necesitarán del consentimiento del usuario para su instalación y serán objetos del deber de información recogido en el artículo 13 RGPD.
• Identificación de quién utiliza las cookies: el propio editor (cookies propias) o terceros, de quienes se deberá facilitar información adicional, pero no necesariamente en esta política.
• Información sobre cómo aceptar, denegar o revocar el consentimiento, permitiendo al editor utilizar la tecnología que estime oportuna.
• Información sobre transferencias de datos a terceros países, en virtud de lo establecido en los artículos 46-49 RGPD. En los supuestos de no disponer de garantías suficientes, indicar el riesgo.
• Información sobre elaboración de perfiles y toma de decisiones automatizadas.
• Plazo de conservación en cada cookie (no recomendable que supere los 24 meses).
• En relación con el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad

En resumen, es esencial para las organizaciones adaptarse a estas Directrices para garantizar el cumplimiento y la transparencia relativa a las cookies, evitando patrones engañosos y proporcionando información clara y accesible a los usuarios.

Cristina Zato, Elías Vallejo

Equipo Govertis