Finaliza el periodo para cumplir con el requisito del consentimiento informado en el uso de las 'cookies'
Las empresas que no se hayan adaptado al nuevo escenario deben “ponerse las pilas”
El pasado 31 de octubre finalizó el periodo transitorio que concedió la Agencia Española de Protección de Datos (AEPD) para implementar los cambios necesarios a efectos de cumplir con la obligación de informar adecuadamente al usuario y obtener, así, su consentimiento válido para el tratamiento de datos personales que conlleva el uso e instalación de cookies en los dispositivos de aquellos.
¿Qué aspectos deben tenerse en cuenta a la hora de diseñar la información a ofrecer a los usuarios para obtener válidamente su consentimiento?
Para empezar, debemos saber qué tipo de cookies utilizamos en la página web o aplicación, si son exentas o cookies no exentas. Las cookies exentas, aquellas utilizadas para permitir únicamente la comunicación entre el equipo de usuario y la red, y aquellas estrictamente necesarias para prestar un servicio que haya sido solicitado explícitamente por el usuario, están exceptuadas de cumplir con el requisito del consentimiento informado. No obstante, se considera buena práctica de transparencia informar sobre su uso bien en la política de cookies, bien en la política de privacidad.
Por su parte, las cookies no exentas requieren cumplir con el requisito del consentimiento informado, no pudiéndose instalar sin el consentimiento libre, específico e inequívoco del usuario, otorgado mediante una clara acción afirmativa. No es válido el consentimiento obtenido mediante casillas premarcadas, la mera inacción o navegación del usuario, no aceptándose expresiones como “seguir navegando significa que acepta el uso de las cookies”. Además, debe ofrecerse al usuario la posibilidad de rechazarlas de forma granular, así como poder revocar, en cualquier momento y de forma sencilla, el consentimiento previamente otorgado.
La información para obtener el consentimiento puede efectuarse mediante el sistema de “información por capas”. Una primera capa o banner informativo sobre el uso de cookies cuando se acceda a la página web, en la que como novedad debe incluirse, primero, información genérica sobre el tipo de datos que se van a utilizar, en caso de elaborar perfiles; segundo, la posibilidad de aceptar, configurar o rechazar las galletas informáticas y, tercero, un enlace directo y visible a una segunda capa de información más detallada –‘política de cookies y panel de configuración’-.
En la segunda capa informativa, entre las novedades destaca que hay que Identificar claramente los tipos de cookies, si son propias o de terceros, el plazo de conservación y su finalidad, no siendo válidas expresiones como “usamos cookies para personalizar su contenido y crear una mejor experiencia” o “utilizamos sus datos personales para ofrecer servicios personalizados”.
También hay que informar de cómo aceptar o rechazar las cookies y de cómo revocar el consentimiento prestado (configuración del navegador y panel de configuración).
Asimismo, en el caso de cookies de terceros debe incluirse un enlace directo a la política de estos. Si la configuración de las del editor no permite evitar el uso de las cookies de terceros una vez aceptadas, deberá informarse de la posibilidad de eliminarlas a través del sistema ofrecidos por dichos terceros, así como a través de la configuración del navegador.
En el supuesto de uso de cookies que traten datos de categorías especiales, se impone la obligación de informar separadamente y la obligación específica de que el usuario acepte y consienta la utilización de estas de forma separada.
En el caso de transferencias de datos a terceros países realizadas por el editor, debe informarse del fundamento legal de la transferencia, identificar a los terceros países y en caso de falta de fundamento se debe informar del riesgo de realizar la transferencia sin nivel de adecuación o garantías apropiadas.
Por último, se establece la prohibición general de las llamadas “cookies de muro”, de manera que no podrá condicionarse el acceso a una web o a un servicio a la aceptación de las cookies, salvo cuando se informe debidamente de ello y se ofrezca una alternativa de acceso sin aceptarlas.
En conclusión, los prestadores de servicios de la sociedad de la información que no se hayan adaptado al nuevo escenario, deben “ponerse las pilas” para que en el caso de recibir notificación de denuncia por la AEPD acreditar que cumple y conseguir su archivo o, en caso contrario, reconocer la responsabilidad y realizar el pago voluntario de la sanción propuesta y optar a la reducción de la sanción económica acumulativa de hasta el 40 %.
Jordi Sot (socio) y Jordi Dapeña (abogado senior) de Compliance de Toda & Nel-lo.