A falta de que la AEPD publique la tan esperada nueva guía de cookies, en las últimas semanas han visto la luz varias resoluciones de interés al respecto, que parecen aportar mayor claridad sobre la postura actual de la AEPD (tras seis años desde la publicación de la guía sobre el uso de las cookies):

A)  RESOLUCIÓN R/00431/2019: manteniendo su postura más tradicional, la AEPD recuerda el contenido de la primera y segunda capa informativa (el subrayado es nuestro):

En la primera capa debe mostrarse la información esencial sobre el uso de cookies, que, como mínimo, deberá reseñar: si son propias y/o de terceros, las finalidades de las cookies empleadas, modo en que el usuario puede prestar el consentimiento o rechazar la instalación de cookies, advirtiendo, en su caso, de que, si se realiza una determinada acción, se entenderá que acepta el uso de las cookies, existencia del derecho a revocar el consentimiento. Además, deberá incluir un enlace claramente visible a la segunda capa informativa, donde se incluirá una información más detallada.

La información ofrecida en la segunda capa, que deberá encontrarse disponible en forma permanente en el sitio web o en la aplicación, deberá incluir la siguiente información: qué son y para qué se utilizan las cookies, los tipos de cookies utilizadas y su finalidad, período de conservación de los datos para los diferentes fines, forma de revocar el consentimiento ya prestado, forma de permitir, bloquear o eliminar las cookies enunciadas a través de las funcionalidades facilitadas por el editor o el terminal, las herramientas proporcionadas por el navegador o a través de las plataformas comunes que pudieran existir para esta finalidad, pudiendo también proporcionar información sobre la configuración de las opciones de los principales navegadores. También debe ofrecerse información sobre la identificación de quien utiliza las cookies, esto es, si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros con los que el editor haya contratado la prestación de un servicio para el cual se requiera el uso de cookies, con la identificación de estos últimos.

B) RESOLUCIÓN R/00434/2019 y RESOLUCIÓN R/00433/2019: reiteran el contenido informativo del sistema de capas de la resolución R/00431/2019 anterior. Es interesante ver que estas resoluciones abogan por la necesidad de un sistema que permita la eliminación de cookies por tipología (el subrayado es nuestro):

“[…] no [se] facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas por tipología. Para facilitar esta selección el panel deberá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies y la posibilidad de hacerlo por tipología, y así dar la opción al usuario de poder administrar sus preferencias.

A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies a través del navegador sería complementaria a la anterior, pero insuficiente por si solapara el fin pretendido de permitir configurar las preferencias de una forma selectiva.

C) RESOLUCIÓN R/00499/2019: en la presente resolución de terminación del procedimiento por pago voluntario (las anteriores son de archivo / apercibimiento) se proponía una sanción de 30.000 euros. Es interesante el análisis de cómo se entiende que el consentimiento a que se cedan datos vía cookies a terceros es implícito por no dar opción específica para denegar el consentimiento (el subrayado es nuestro):

En el presente caso, si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otra cookies, sino que remite a la configuración de los navegadores para eliminarlas o bloquearlas, no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador.

No facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta selección el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva.

D) RESOLUCIÓN R/00465/2019: tras recordarnos que la “regulación de cookies” del art. 22.2 de la Ley de Servicios de la Sociedad Información y de Comercio Electrónico no solo aplica a cookies sino también a cualquier otra tecnología similar; se analiza cómo dar el consentimiento informado. En particular, se identifican las siguientes deficiencias además de la falta de consentimiento previo (el subrayado es nuestro):

Así, en el aviso de la primera capa no permitía identificar correctamente la finalidad para la que se usaban las cookies analíticas de tercera parte citadas, ya que de la expresión “para ofrecerle una mejor experiencia de navegación” no se desprende que se usan para el seguimiento y medición de los hábitos de navegación de los usuarios del portal.

Por otra parte como en el aviso ya se advertía del tipo de acción concreta que suponía la aceptación del uso de las cookies por el usuario (seguir navegando) no resultaba necesario incluir el botón de aceptación.

Tampoco informaba del modo en que el usuario podía rechazar la utilización de cookies o configurarlas de forma granular.”

En lo que respecta a la segunda capa o “Política de Cookies” no se indicaba el período de conservación de los datos para los fines para los que se iban a utilizar las cookies analíticas. No se informaba sobre la forma implementada para permitir denegar, revocar el consentimiento prestado o eliminar las cookies enunciadas de forma granular, bien a través de las funcionalidades proporcionadas por el responsable o editor del sitio (sistema de gestión o configuración de cookies habilitado) o el sistema operativo del software de navegación o a través de las plataformas comunes que pudieran cumplir esta finalidad. A este respecto se señala que si el sistema de configuración ofrecido no permite revocar el consentimiento prestado para el uso de cookies de terceros, el responsable del sitio advertirá al usuario que si acepta cookies de terceros deberá eliminarlas desde las opciones ofrecidas por su navegador o desde el sistema habilitado para ello por los terceros”.

Tampoco se ofrecía el enlace del “Complemento inhabilitación para navegadores de Google Analytics””.

Especialmente interesante es el hecho de evitar expresiones como “aceptar y seguir navegando”. En términos de la AEPD: “su instalación a través del botón “Aceptar y seguir navegando”, ello con independencia de que este botón incluye dos acciones de aceptación incompatibles entre sí, debiendo ofrecerse al usuario o la modalidad de “Seguir navegando” o el mecanismo de “Aceptar” cookies”.

Por último, a los criterios indicados en las otras resoluciones con respecto a las capas informativas, señala la necesidad de incluir en la primera capa la identidad del responsable del sitio web, “no siendo necesaria la denominación social y se desprende de forma evidente del propio sitio web”.

Ahora solo queda esperar a que la AEPD consolide criterios con la nueva guía, siguiendo la estela de la autoridad francesa o inglesa, así como completando pautas ya resaltadas en otros foros y consolidadas recientemente por el Tribunal de Justicia de la UE. Todo ello, sin contar con el futuro Reglamento E-Privacy.