Hace unos meses, la Agencia Española de Protección de Datos (La AEPD en adelante) actualizaba su guía sobre el uso de cookies, en respuesta a la publicación en febrero del pasado 2023 de las Directrices 03/2022 sobre patrones engañosos en redes sociales por parte del Comité Europeo de Protección de Datos (EPDB).
Así, la AEPD ha lanzado una nueva actualización de su guía sobre el uso de cookies, marcando su segunda actualización en los últimos tres años. Este ajuste responde a la necesidad de alinearse con las Directrices 03/2022 del EDPB, que buscan proteger la toma de decisiones de los usuarios de Internet en relación con el tratamiento de sus datos. Esto subraya la importancia de mantenerse al día en un mundo digital en constante evolución.
En líneas generales, los cambios y actualizaciones introducidos por esta nueva versión y de los que adelantamos algo en este post anterior, son beneficiosos y refuerzan la protección de la privacidad de los usuarios en línea, lo que las empresas deberán implementar.
Pero, ¿cómo poner en práctica estas nuevas obligaciones?
Respecto a los datos que abarca la política de cookies: Es importante revisar la política de cookies para asegurarse de que sea clara y transparente respecto al uso de cookies en la página web o aplicación. La información proporcionada debe ser clara y fácil de entender para los usuarios, utilizando un lenguaje sencillo y directo.
Específicamente, debe incluir los siguientes aspectos:
✅ Descripción de las cookies y sus funciones principales.
✅ Lista de cookies utilizadas, incluyendo su tipo y propósito.
✅ Explicación detallada de la finalidad de cada cookie.
✅ Identificación del responsable de cada cookie y especificación sobre si los datos recopilados serán tratados por dicho responsable o por un tercero.
✅ Guía sobre cómo dar consentimiento o rechazar las cookies, así como sobre cómo retirar el consentimiento previamente otorgado.
✅ Indicación sobre la posible transferencia de datos a nivel internacional.
✅ Información sobre si las cookies se emplearán para crear perfiles y tomar decisiones automáticas, con explicación sobre la lógica utilizada y las posibles consecuencias.
Respecto al aviso de cookies: Es necesario que el aviso inicial de cookies incluya la opción de rechazar todas las cookies. Los banners que solo tengan las opciones «ACEPTAR» y «CONFIGURAR COOKIES» ya no cumplen con los requisitos. El botón «RECHAZAR TODAS LAS COOKIES» debe ser fácilmente visible y accesible, sin estar oculto ni dificultar su uso.
Las opciones para aceptar o rechazar las cookies deben presentarse de manera clara, transparente y no engañosa para el usuario, con colores y contrastes adecuados. La AEPD proporciona ejemplos de banners de cookies en su guía.
Respecto a las cookies de personalización seleccionadas por el usuario: Las cookies de personalización recuerdan las preferencias del usuario para adaptar el servicio a ellas (como idioma o aspecto del sitio). Si el usuario elige estas cookies, no se necesita consentimiento, a menos que se utilicen para otros fines, como publicidad personalizada o perfiles de usuario. La AEPD aclara que estas cookies pueden ser persistentes para evitar que el usuario tenga que personalizar sus preferencias en cada visita.
Respecto a la opción de requerir un pago si no se aceptan las cookies: Si bien la guía anterior ya indicaba que la negativa a aceptar cookies podría limitar el acceso al sitio web o aplicación, siempre que se informase adecuadamente al usuario y se ofreciera una alternativa sin necesidad de cookies, en la última versión se amplía esto al permitir que la alternativa no sea necesariamente gratuita, lo que abre la posibilidad de muros de pago o Paywalls. Si se cobra por no aceptar cookies, la alternativa gratuita o equivalente debe ofrecer un servicio igual o similar al que se obtendría al aceptar las cookies. Por lo tanto, si el usuario rechaza las cookies, podría requerírsele un pago para acceder al sitio web, aplicación o servicio.
En resumen, estos cambios refuerzan la protección de la privacidad en línea al exigir una mayor transparencia a los responsables del tratamiento de datos. Sin embargo, la posibilidad de cobrar por no aceptar cookies plantea controversias, ya que podría desincentivar a los usuarios para rechazarlas. La AEPD ha establecido requisitos para garantizar la conformidad con la normativa de protección de datos, como ofrecer alternativas gratuitas o equivalentes. Por otro lado, las empresas pueden enfrentar desafíos al adaptarse a estas nuevas obligaciones, lo que podría resultar en sanciones económicas significativas en caso de incumplimiento.
Cabe recordar que la implementación de toda esta nueva normativa debía estar hecha desde el 11 de enero, ¿has empezado ya?
