El pasado mes de julio la AEPD actualizó su Guía sobre el uso de las cookies para adaptarla a la normativa de la entidad reguladora central europea. Se han modificado algunos presupuestos para hacer la normativa más clara, pero también más estricta. Tras algunos años desde la aplicación del RGPD, todavía hay páginas web que incumplen la normativa de cookies. Te contamos en que consiste y cómo puedes adaptar tu web para cumplir con ella  y que no te lleves una desagradable sorpresa por parte de las autoridades en protección de datos.

La normativa respecto a las Cookies no es algo nuevo, pero hasta el RGPD (Reglamento General de Protección de Datos), no se había definido de manera tan clara y explícita. Hasta ese momento había determinadas prácticas que resultaban cuanto menos dudosas.

En mayo de este año, el CEPD (Comité Europeo de Protección de Datos), sacó unas “Líneas de acción sobre el consentimiento según la regulación 2016/67″.  Debido a ello la entidad equivalente española (AEPD, o Agencia Española de Protección de Datos) ha actualizado en julio de este mismo año la “Guía sobre el uso de las cookies”, que puedes descargar aquí. Se establece un periodo transitorio de tres meses (hasta el 31/10/2020, por tanto) para su aplicación.

El consentimiento en la normativa de cookies

Lo primero y más importante es definir lo que es el consentimiento y lo que no lo es. El artículo 4(11) del RGPD lo define como: “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Muro de cookies

Ejemplo de «muro de cookies»

El hecho es que se están produciendo casos en que las páginas webs o las Apps no utilizan formas de consentimiento válidas, o bien porque no hay una elección real, porque se ve obligado a consentir o porque sufre consecuencias negativas si no lo hace. Es el caso de aquellas páginas que requieren determinados permisos en el móvil para la descarga de una aplicación que en realidad no los necesita para su uso (no estaría bien informado). También, la aceptación a cambio de acceder a un contenido, mediante el llamado muro de cookies, que impide ver el contenido si no se acepta (no sería libre).

Por último, hacer scroll  (desplazarse hacia  abajo por la página) o, simplemente, seguir navegando no son formas de consentimientos (porque no son una clara acción afirmativa).

seguir navegando

Ejemplo de consentimiento tácito

Para combatir estas malas prácticas la Guía define muy bien lo que es la TRANSPARENCIA y también cómo se debe OBTENER EL CONSENTIMIENTO

Transparencia informativa

La web debe informar, respeto a las Cookies, ya sea  directamente en en su Política de Privacidad (que debe estar enlazada desde el aviso de las cookies):

  • Lo que son y para qué sirven.
  • Los tipos de cookies que hay.
  • Quiénes van a usarlas y para qué.
  • La forma de aceptar, denegar o revocar el consentimiento.
  • Si se van a transferir a terceros.
  • Si se van a obtener perfiles de modo automatizado.
  • El periodo de conservación de los datos.

Ejemplo de Política de Cookies

La información debe ser concisa, transparente e inteligible. Por tanto, debe resultar comprensible al integrante medio de la audiencia objetivo. También debe resultar de fácil acceso, mediante un enlace destacado, la información estar presente en el lugar lógico donde se busca y de modo permanente.

Según la filosofía de la doble capa, en una primera debe figurar lo indispensable (el responsable del sitio web, la finalidad de las cookies, si se transmiten a terceros, qué datos se recaban, cómo aceptar configurar o rechazar) y un enlace a la segunda capa, que puede ser la política de privacidad completa. Por último, la guía incide en que se deben diferenciar las cookies de distinta naturaleza, pero no deben diferenciarse una a una, pues el proceso de aceptación o rechazo resultaría confuso para el usuario.

Ejemplo de aceptación selectiva de cookie

La obtención del consentimiento

Como ya hemos dicho el consentimiento es una clara acción afirmativa.  Por tanto, la información del consentimiento debe aparecer separada de otros asuntos y el usuario debe poder negarse a darlo, o revocarlo con posterioridad. La retirada del consentimiento debe poder hacerse de forma fácil. También debe quedar claro para quién o quiénes se da el consentimiento (si además del editor de la web existen terceros).

Hay diversas modalidades de consentimiento y todas son válidas, si se informa de forma clara y transparente de cómo darlo:

  • Al darse de alta en un servicio.
  • Al configurar la página web o aplicación.
  • A través de plataformas de gestión de consentimiento.
  • Antes de descargarse un servicio o aplicación.
  • A través del formato de información por capas.
  • A través de la configuración del navegador.

Ejemplo de consentimiento con primera capa de datos

Respecto a las cookies, como ya hemos dicho ya hemos dicho, no son válidos el consentimiento tácito (el texto indica “Si sigues navegando aceptas estas condiciones”) o los muros de cookies (se impide la navegación si no se da el consentimiento). Los muros de cookies solo serían válidos si se da una alternativa para acceder al contenido que implique la libertad del usuario de hacerlo (aunque sea previo  pago, porque el contenido es bajo suscripción).

Actualización del consentimiento y política de terceros

Si el consentimiento de las cookies se da para terceros, debe remitirse al usuario a la política de privacidad de dichos terceros e informarse claramente de cómo aceptar o rechazar sus cookies.

Por último, la guía informa de que si hay cambios en el uso de las Cookies por parte del sitio web, se debe informar para que el usuario dé un nuevo consentimiento.  Y propone, en caso de que no haya cambios, que la web almacene el consentimiento dado 24 meses, antes de solicitar una actualización del mismo.

Un simple vistazo a las webs de las empresas revela que muchas optan aún por el consentimiento tácito, o utilizan tácticas para obtener el consentimiento de manera que no resulta libre para el usuario (por ejemplo, a cambio de poder ver los contenidos).  Es imprescindible la actualización de las webs antes de que finalice el periodo transitorio (31/10/2020) porque este podría ser el último aviso por parte de las entidades reguladoras

En Extra Software prestamos servicios de diseño y desarrollo de páginas web y te ayudamos a optimizar la tuya o convertirla en una tienda online. Si estás interesado contacta aquí.