Las condiciones y requisitos del consentimiento bajo el RGPD siguen generando controversia, a pesar de haber sido ampliamente interpretados por el propio CEPD, las autoridades de protección de datos europeas y por la AEPD.

Como recordaréis, el ya extinto –pero siempre con nosotros– Grupo de Trabajo del Artículo 29 publicó sus “Directrices sobre el consentimiento” bajo el RGPD el 10 de abril de 2018 (disponibles aquí). Sin embargo, a pesar de que esta guía proporcionaba criterios con respecto a las notas características del consentimiento, lo cierto es que no arrojaba suficiente luz con respecto a algunos de sus requisitos, en particular al consentimiento en el contexto del uso de cookies –cuando éste resulte necesario– y si el mismo puede prestarse a través de la mera navegación en una página web.

Esta cuestión no es baladí teniendo en cuenta que la actual (pero con necesidad de un lavado de cara) Directiva e-Privacy define el consentimiento como aquel previsto en la antigua directiva de protección de datos (sustituida por el RGPD).

Por ello, el CEPD ha publicado una nueva versión de la guía sobre el consentimiento (“Guía”) (disponible aquí, de momento en inglés). A modo de resumen, merece la pena hacer mención a las siguientes cuestiones tratadas en la Guía:

1.- Consentimiento a través del continuar navegando

Cabe destacar que la Guía no parece estar alineada con el reciente criterio expresado por la AEPD en su “Guía sobre el uso de las cookies” (sobre el que ya publicamos una entrada en su día). Veamos por qué:

Ya las “Directrices del Consentimiento” originales interpretaban de manera expresa que la mera navegación en una página web no debía ser interpretada como un consentimiento válido, al no poder garantizarse que fuese “inequívoco”. La AEPD en su “Guía sobre el uso de cookies” sí que interpretó que, cumpliendo ciertos requisitos y bajo la responsabilidad del webmaster, se podía entender como acción afirmativa –de cara al consentimiento– la navegación en una página web. Sin embargo, el CEPD parece adoptar una posición más estricta y en línea con otras autoridades europeas –como la francesa o la británica–:

La Guía del CEPD La Guía sobre el Uso de las Cookies de la AEPD

“acciones como hacer scrolling o desplazarse por un sitio web o realizar acciones similares por parte del usuario en ninguna circunstancia satisfará el requisito de que sea una acción clara y afirmativa”

Traducción no oficial

A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación.

Además, insiste el CEPD en que la retirada del consentimiento en estos casos difícilmente será tan fácil como prestarlo. Dado que ambas posturas son a priori difícilmente conciliables (en especial con respecto al scrolling), no se puede descartar que la AEPD publique alguna aclaración con el fin de evitar la incertidumbre.

En todo caso, esta nueva vuelta de tuerca sin duda dificultará aún más la monetización del uso de webs y el mejor entendimiento de la manera en que los usuarios interaccionan con las mismas, por lo que cabe preguntarse si no existen alternativas al consentimiento estricto del RGPD en el mundo de las cookies (quizá en ciertos supuestos). El Tribunal de Justicia de la Unión Europea tampoco parece estar por la labor de realizar una interpretación más laxa si observamos el reciente pronunciamiento C‑673/17, en el que recuerda que los requisitos de consentimiento en materia de cookies deben estar alineados con el RGPD. Si bien no afirma categóricamente que continuar navegando ya no sea un mecanismo válido, sí que reafirma que las casillas premarcadas o la inacción no se pueden interpretar como válidos consentimientos bajo el RGPD.

En todo caso, el tan esperado Reglamento E-Privacy –que se está haciendo de rogar– seguro que traerá soluciones, a la par de nuevos retos.

2.- Cookie walls

¿Qué son? Se denomina así al mecanismo para evitar a un usuario el acceso a la web o aplicación si no acepta el uso de las cookies. Es decir, el clásico “o lo tomas o lo dejas” aplicado a las cookies. Aunque en España no ha existido un debate demasiado intenso al respecto, en otros países como Holanda, sí que la autoridad de protección de datos se ha pronunciado en su contra (disponible aquí en holandés).

En principio, la AEPD en su Guía sobre el uso de cookies señala que “Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario.” Sin embargo, la Guía también señala de manera tajante que “el acceso a las servicios o funcionalidades no debe ser condicional al consentimiento del usuario para el almacenamiento de información o el acceso a información ya almacenada en el dispositivo del usuario (las llamadas cookie walls)”.

El debate está servido, aunque la postura por parte de la mayoría de autoridades europeas es clara. No se puede condicionar el uso de una web o aplicación al consentimiento para las cookies (¿Dónde queda el consentimiento libre en estos casos a nivel de protección de datos?).

 

Por último, como siempre recomendamos la lectura de todos los ejemplos previstos en la Guía. Estamos seguros de que os ayudarán a resolver dudas.