¡Por fin tenemos guía de cookies! Hace pocas semanas os adelantábamos la necesidad de una nueva guía sobre el uso de cookies y las últimas tendencias a la luz de recientes resoluciones de la AEPD. Hoy se ha presentado la Guía sobre el uso de Cookies (la “Guía”).

Como su predecesora, esta Guía ha sido elaborada con la colaboración de la industria (Adigital, Iab Spain, Anunciantes y Autocontrol) y tiene por objeto dar orientaciones sobre la aplicación del apartado segundo del art. 22 LSSI y el uso de cookies y tecnologías similares (e.g., local shared objects o flash cookies, web beacons o bugs, técnicas de fingerprinting, etc.).

Nos gustaría destacar los siguientes puntos de la Guía:

  • El tratamiento de datos personales a través de cookies. La Guía recuerda que cuando el uso de una cookie conlleve el tratamiento de datos personales, se debe asegurar el cumplimiento de los requisitos adicionales del RGPD / LOPDGDD. Es importante no olvidar —en especial en el mundo on line— que también se considera que hay un tratamiento de datos personales cuando “se utilicen identificadores únicos que permitan distinguir unos usuarios de otros y realizar un seguimiento individualizado de los mismos (por ejemplo, un ID de publicidad)”.
  • Tipos de cookies:
    • Cookies exceptuadas. La Guía, al igual que la anterior, se refiere a las cookies exceptuadas del ámbito de aplicación del 22.2 LSSI y sobre las que no es necesario informar ni obtener el consentimiento. Dicho esto, y por motivos de transparencia, la AEPD recomienda informar de su uso “al menos con carácter genérico”.
    • Tipología de cookies. Se definen las cookies y se diferencian, como se ha venido haciendo hasta ahora y sin ánimo de exhaustividad, según quién las gestione (propias / terceros); su finalidad (técnicas / preferencias o personalización / análisis o medición / publicidad comportamental); y el plazo de tiempo que permanecen activadas (de sesión / persistentes).
  • Deberes de información. La Guía identifica sobre qué se debe informar a los usuarios en relación con las cookies (con numerosos ejemplos al respecto). Siguiendo la lógica de las últimas resoluciones, la Guía señala la siguiente información:
Primera Capa Segunda Capa / Política de Cookies

1.  Identificación del editor responsable del sitio web [no siempre resulta necesario].

2.  Finalidad de las cookies.

3.  Si las cookies son propias o de terceros.

4.  Información genérica sobre el tipo de datos que se recopilan y utilizan en caso de elaboración de perfiles.

5.  Modo de aceptación, configuración y rechazo de cookies; con la advertencia, en su caso, de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.

6.  Enlace claramente visible a la segunda capa / panel de configuración de cookies.

*En caso de recurrir a la opción de “seguir navegando”, se debe incluir un enlace o botón a un panel de configuración con un botón para rechazar el uso de todas las cookies.

1. Definición y función genérica de las cookies.

2. Información sobre el tipo de cookies que se utilizan y su finalidad.

3. Identificación de quién utiliza las cookies [propias / terceros —identificándolos—].

4. Información sobre la forma de aceptar, denegar, revocar el consentimiento o de eliminar las cookies.

5. Información sobre transferencias de datos a terceros países.

6. Información sobre la elaboración de perfiles que implique la toma de decisiones automatizadas con efectos jurídicos o afecten significativamente de modo similar (en los términos del art. 13.2(f) RGPD).

7. Periodo de conservación de los datos.

8. Resto de información de protección de datos [se puede hacer mediante referencia a la política de privacidad].

  • Consentimiento – se acepta el “Seguir Navegando”***. Una de las grandes incógnitas que más quebraderos de cabeza ha generado —hasta la publicación de la Guía— ha sido si la AEPD aceptaría, bajo el RGPD, la opción de “seguir navegando” como vía para obtener el consentimiento. La respuesta es SÍ. A este respecto, la AEPD aclara:

para que la acción de continuar con la navegación pueda considerarse un consentimiento válido, el aviso deberá insertarse en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pueda existir seguridad de que el aviso no ha pasado desapercibido para el usuario. Asimismo, será necesario, para que el consentimiento se considere otorgado, que el usuario realice una acción que pueda calificarse como una clara acción afirmativa. A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación.” (el subrayado es nuestro)

Sin embargo, la Guía matiza que la consulta de la segunda capa o la navegación dirigida a la gestión de preferencias no se puede considerar un consentimiento. La AEPD considera que las siguientes acciones, tras cumplir con el deber de información, constituirían la aceptación:

  • Utilizar la barra de desplazamiento, siempre y cuando la información sobre las cookies sea visible sin hacer uso de esta.
  • “Clicar sobre cualquier enlace contenido en la página distinto del enlace a la segunda capa informativa sobre cookies y del enlace a la política de privacidad.
  • “En dispositivos como el móvil o la tablet, podrá entenderse que el usuario acepta cuando desliza la pantalla accediendo al contenido.

La Guía también analiza distintas formas y momentos de obtener el consentimiento (e.g., a través de plataformas de gestión, al descargar una App, etc.). Además, se detallan las especialidades a tener en cuenta para obtener el consentimiento de menores.

  • Transparencia. La Guía recalca la importancia de usar un lenguaje sencillo y rechaza el uso de frases que induzcan a error o sean ambiguas:

No serían válidas, por ejemplo, frases como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias comportamentales. También deben evitarse términos como “puede”, “podría”, “algún”, “a menudo”, y “posible”.

Además, la información debe ser de fácil y permanente acceso en caso de la segunda capa. La Guía también analiza otras formas de cumplir con este deber de información (e.g., informando al solicitar el alta en un servicio).

  • Se analiza la responsabilidad de las partes involucradas en la utilización de cookies. Es interesante en este punto cómo la AEPD señala la figura no solo del encargado del tratamiento, sino del corresponsable.
  • Anexo de partes intervinientes en los procesos de publicidad programática. Se incluye un interesante Anexo identificando a los principales intervinientes en estos procesos.

Ahora solo queda ver con qué rigor aplica la AEPD los criterios contenidos en la Guía y que las organizaciones comiencen, poco a poco, a implementar los cambios necesarios en sus páginas webs, Apps, etc.

***Esta modalidad, que es incompatible con aquellos casos en los que se solicite el consentimiento explícito o clicar en “aceptar”, no será válida para los tratamientos previstos en los artículos 9, 22.2(c) y 49.1(a) RGPD.