ÚLTIMAS ACTUALIZACIONES EN MATERIA DE COOKIES

En el presente artículo expondremos las nuevas actualizaciones en materia de cookies, las cuales revisten de una especial importancia, ya que reflejan la continua evolución de las regulaciones y prácticas relacionadas con el tratamiento de cookies en el entorno digital.

En primer lugar, destacamos la actualización de la Guía sobre el uso de las cookies del pasado mes de julio, cuya finalidad era adaptarla a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos (CEPD).

Si bien el objetivo principal de las Directrices era la regulación de las interfaces de las redes sociales, también se afirma que los patrones de diseño engañosos no son exclusivos de tales plataformas, pudiendo incluir sitios web, tiendas en línea, videojuegos, aplicaciones móviles…

No obstante, con la incorporación de tales Directrices a la Guía de cookies, estas exigencias se vieron ampliadas a todos aquellos prestadores de servicio de la sociedad de la información, quienes tuvieron que cumplirlas estableciéndose, como plazo para ello, el pasado 11 de enero de 2024.

Por lo tanto, los prestadores de servicios de la sociedad de la información tendrán la obligación de evitar los patrones engañosos cuando informen acerca del uso de cookies a sus usuarios, en concreto, en lo relativo a las acciones de aceptar o rechazar las cookies. Los patrones que deberán evitar, según lo señalado en las Directrices, serán: la sobrecarga de opciones, omisión de información, señales visuales contradictorias, bloqueo de gestión de datos, así como los diseños inconsistentes, poco claros y oscuros.

Cabe destacar que el principio de licitud del tratamiento (artículo 5 RGPD) es el punto de partida para evaluar la presencia de patrones de diseño engañosos.

En la siguiente imagen que recoge el CEPD en las Directrices, se detallan las categorías de patrones de diseño engañosos y sus subcategorías. De igual modo, se enumeran las disposiciones del RGPD más afectadas por estos tipos de patrones, incluyendo también ejemplos y casos de uso (UC) correspondientes para ayudar a encontrar los diferentes patrones de manera más ágil.

Por otro lado, no debemos olvidar los requisitos de transparencia de la información relativo al uso de cookies, que exigen que la información facilitada en dicha política sea concisa, transparente e inteligible. Además, se deberá utilizar un lenguaje claro y sencillo, evitando frases o palabras que pudieran inducir a error al usuario. Asimismo, la información deberá resultar de fácil acceso y evidente para el usuario en todo momento, tanto a la hora de prestar el consentimiento, como una vez prestado.

Estos requisitos de transparencia serán exigibles tanto en la información facilitada al usuario en las capas 1 y 2, tal y como detallábamos en el anterior artículo “Cookies en el horno: última llamada para su cumplimiento”, del Blog de la Asociación Española para la Calidad (AEC).

Respecto a la información facilitada en la primera capa, la Guía de la AEPD exige que las acciones de aceptar o rechazar cookies se presenten en un lugar y formato destacados, debiendo encontrarse tales acciones en el mismo nivel, sin que resulte más complicado rechazarlas que aceptarlas. Además, se incluyen nuevos ejemplos sobre cómo deben mostrarse estas opciones, ofreciendo indicaciones relativas al color, tamaño y lugar en el que aparecen, entre otros. A modo de ejemplo, el CEPD indica que un tamaño pequeño o un color que no contraste lo suficiente como para ofrecer una clara legibilidad pudiera tener un impacto negativo y resultar engañoso para los usuarios, al igual que modificar los colores de los interruptores de consentimiento.

Otro punto importante de la Guía es la relativa a los llamados “muros de cookies”. Con la nueva actualización se permite que la alternativa a la no aceptación de cookies a la hora de navegación en un sitio web, pueda ser de pago, lo que se traduce en que el usuario puede verse obligado a pagar un precio por acceder a dicha información si no desea la implementación de determinadas cookies que no se encuentran exentas de consentimiento, como las cookies de análisis o medición o de publicidad comportamental. Como se ha podido observar con mayor frecuencia en las últimas semanas, ya son muchas las webs que incluyen el llamado “Pay or OK”, teniendo el usuario, por lo tanto, la opción de aceptar seguir navegando de manera gratuita, a cambio de la instalación de cookies no exentas de consentimiento en su dispositivo, o bien pagar una cuota, lo que le permitirá seguir navegando sin publicidad y, por tanto, sin la instalación de cookies no exentas en sus dispositivos.

El pasado mes de noviembre, la organización austriaca sin ánimo de lucro NOYB (Centro Europeo de Derechos Digitales) planteó una reclamación contra el “Pay or OK” instaurado por META, al ascender la cantidad solicitada por la entidad a cada usuario a un total de 251’88€ al año por “conservar su derecho fundamental a la protección de datos en Instagram y Facebook», tal y como señala la propia organización en su nota de prensa. La organización considera que dicho consentimiento no se trataría de un consentimiento libre, además de ser accesible solamente para personas pudientes económicamente. Quedaremos a la espera de la resolución de la autoridad austriaca de protección de datos al respecto.

Por último, en este mes de enero, la AEPD ha publicado una nueva guía sobre el uso de cookies para herramientas de medición de audiencia. Dicha información se ha incorporado mediante la creación de un Anexo II, lo que implica una nueva actualización de la Guía sobre el uso de cookies.

En esta guía se aborda el uso de herramientas de medición de audiencia y cookies en la gestión de sitios web o aplicaciones móviles por parte de los editores, cuestión esencial para recopilar estadísticas de tráfico o rendimiento necesarias para la prestación del servicio. Asimismo, la guía detalla las condiciones que permiten que determinadas cookies de medición puedan estar exentas de requerir consentimiento, siempre que su propósito sea limitado a la medición exclusiva de la audiencia y se utilicen para producir datos estadísticos anónimos.

A tal efecto, la AEPD considera estrictamente necesario el tratamiento de los siguientes datos, por lo que no será necesario obtener el consentimiento de los usuarios:

• Medición de audiencia, página por página.
• La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual ya sea interna o externa al sitio, por página y agregada diariamente.
• Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente.
• Estadísticas de tiempo de carga de la página, por página y agregadas por hora.
• Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente.
• Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente.

De igual modo, se establecen garantías mínimas para el uso de cookies exentas que deben ser implementadas por el editor, como informar a los usuarios del uso de las cookies a través de políticas de privacidad; limitar la vida útil de las cookies, y conservar la información recopilada por un período específico que no debe superar los 25 meses, debiendo realizarse revisiones periódicas.

Cuando se recurre a un proveedor de servicios de medición de audiencia, se exige un compromiso contractual que prohíba la reutilización de datos y que garantice un tratamiento independiente de datos en caso de servir a más editores. También se requiere que el proveedor restrinja el tratamiento de datos a propósitos específicos y a cumplir con las condiciones para la transferencia de datos fuera de la Unión Europea. Finalmente, será necesaria una evaluación para asegurar que las herramientas del proveedor cumplen con los requisitos establecidos.

En resumen, resulta evidente que el “mundo cookie” ha experimentado numerosas modificaciones en los últimos meses. No obstante, aún estamos a la espera de conocer las acciones que tomarán las autoridades de control, así como la respuesta de los usuarios frente a tales cambios significativos.

Cristina Zato, CdC Privacidad de Govertis part of Telefonica Tech

Cookies en el horno: última llamada para su cumplimiento

El pasado mes de julio la Agencia Española de Protección de Datos actualizó su Guía sobre el uso de las cookies, para alinearse con las Directrices europeas 03/2022 del Comité Europeo de Protección de Datos (CEPB) sobre patrones engañosos en plataformas de redes sociales.

Estas Directrices brindan recomendaciones prácticas a proveedores, responsables y usuarios de plataformas de redes sociales sobre cómo evaluar y evitar los “patrones de diseño engañosos” que infringen los requisitos del Reglamento General de Protección de Datos (RGPD).

Entonces, ¿cómo impactarán estos cambios en la forma en que mi organización proporciona información sobre cookies a los usuarios?

Tras la incorporación de las consideraciones del CEPB en la Guía de Cookies, aplicables a todos los prestadores de servicio de la sociedad de la información, se ha señalado un plazo máximo de adecuación  hasta el 11 de enero del 2024, como ha señalado la propia AEPD.

Los prestadores de servicios de la sociedad de la información deberán evitar los patrones engañosos al informar sobre cookies a los usuarios, como la sobrecarga de opciones, omisión de información, señales visuales contradictorias, bloqueo de gestión de datos, diseños poco claros y oscuros.

La información facilitada deberá ser concisa, transparente, inteligible, en un lenguaje claro y sencillo y de fácil acceso.

Para ello, se proporcionará información por capas:

1ª CAPA:

• Identificación del responsable del sitio web (sin necesidad de denominación completa en este apartado).
• Identificación de la finalidad de las cookies utilizadas.
• Información sobre si las cookies con propias, de terceros o ambas.
• Información sobre el tipo de datos recopilados.
• Opciones para aceptar, rechazar y configurar las cookies.
  • Aceptar cookies: Mediante términos sencillos como “Aceptar”, “Consentir”, “Sí”.
  • Rechazar cookies: Mecanismo similar al de aceptar, excepto para cookies exentas de consentimiento.
  • Configuración de cookies: No necesariamente similar a los mecanismos anteriores, pero claramente visible, llevando a un panel de configuración.
• Enlace visible a una segunda capa para obtener más información.

No resultará válida la aceptación automática de cookies al continuar navegando, ni se sugerirá que no aceptar impide la navegación.

Además, no se permitirán colores o contrastes que generan confusión al usuario y que induzcan a consentir involuntariamente.

2º CAPA:

• Definición y función genérica de las cookies
• Información sobre tipo de cookies utilizadas y sus finalidades:
  • Cookies técnicas: exentas de consentimiento (párrafo 3 artículo 22.2 LSSI). El Dictamen 4/2012 del GT29 establece como cookies técnicas las cookies de sesión, de autenticación, cookies de seguridad de acceso, de sesión del reproductor multimedia, personalización de interfaz del usuario…
  • Cookies de personalización: En el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas (por ejemplo, la elección del idioma de la web o la moneda en la que desea realizar transacciones), se trata de cookies técnicas que no requieren de consentimiento, sin que puedan ser utilizadas para otras finalidades.
  • Cookies de análisis o medición; de publicidad comportamental, que necesitarán del consentimiento del usuario para su instalación y serán objetos del deber de información recogido en el artículo 13 RGPD.
• Identificación de quién utiliza las cookies: el propio editor (cookies propias) o terceros, de quienes se deberá facilitar información adicional, pero no necesariamente en esta política.
• Información sobre cómo aceptar, denegar o revocar el consentimiento, permitiendo al editor utilizar la tecnología que estime oportuna.
• Información sobre transferencias de datos a terceros países, en virtud de lo establecido en los artículos 46-49 RGPD. En los supuestos de no disponer de garantías suficientes, indicar el riesgo.
• Información sobre elaboración de perfiles y toma de decisiones automatizadas.
• Plazo de conservación en cada cookie (no recomendable que supere los 24 meses).
• En relación con el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad

En resumen, es esencial para las organizaciones adaptarse a estas Directrices para garantizar el cumplimiento y la transparencia relativa a las cookies, evitando patrones engañosos y proporcionando información clara y accesible a los usuarios.

Cristina Zato, Elías Vallejo

Equipo Govertis