En el presente número de Breves de Regulación Digital retomamos el tema de las ‘cookies‘, tras nuestra última publicación del pasado mes de Octubre, en la que abordamos toda la complejidad de su cumplimiento.
El pasado día 8 de noviembre, la AEPD publicó una nueva guía de uso en colaboración con Adigital, Anunciantes, Autocontrol e IAB. Las directrices del documento están en línea con el análisis y recomendaciones que analizamos en nuestro anterior artículo y por tanto, alineados con la necesidad urgente de revisar y actualizar los «avisos de cookies» que no cumplían ya con estas recomendaciones.
Del mismo modo, en nuestro último Breves de Regulación Digital, recomendábamos revisar la posición jurídica de los distintos agentes intervinientes en el ecosistema de la publicidad digital.
Entre otras cuestiones a destacar, la guía de la AEPD analiza el cumplimiento del deber de informar; las distintas modalidades para la obtención del consentimiento; la obligación de informar en la segunda capa de las transferencias a terceros países realizadas por el editor, de la elaboración de perfiles y del período de conservación de los datos.
Deber de información
Conforme a los requisitos definidos por el RGPD, la guía recomienda claridad y sencillez en la información. Por tanto, será necesario analizar la redacción de los textos informativos de las políticas de cookies, tratando de evitar redacciones ambiguas y poco claras como, por ejemplo, «podemos utilizar sus datos personales para ofrecer servicios personalizados».
Se mantiene la recomendación de suministrar la información por capas, de forma que se muestre la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda mediante una página que ofrezca información más detallada y específica sobre las cookies.
Adicionalmente, la primera capa de información se verá modificada en función del medio de obtención del consentimiento, por lo que será necesario determinar, en primer lugar, el modelo de obtención del consentimiento para adaptar primera y segunda capa a dicho modelo.
Obtención del consentimiento
La Guía ofrece 3 ejemplos de fórmulas para la gestión y aceptación del uso de cookies:
-
Insertar en la primera capa dos botones: ‘Aceptar cookies’ y ‘Rechazar cookies’.
Se obtiene el consentimiento del usuario que clica sobre el botón Aceptar, y se requiere ofrecer más información y posibilidad de configurar sus preferencias en una segunda capa.
- Insertar en la primera capa un botón: ‘Aceptar cookies’.
De la misma forma que en la fórmula anterior, solo cuando el usuario pulse el botón ‘Aceptar’ se habrá obtenido autorización para el uso de cookies. Igualmente, en una segunda capa debe ofrecerse al usuario más información y la posibilidad de configurar sus preferencias.
-
La fórmula de ‘seguir navegando’
Esta fórmula puede seguir utilizándose con matices. Por ejemplo, no será válida para tratamientos que requieran un consentimiento explícito.
Para el resto de tratamientos, no podrá ir acompañada de casillas o botones de aceptación. Adicionalmente, el aviso de cookies deberá aparecer en un lugar claramente visible, que permita acreditar que no ha pasado desapercibido al usuario.
Para que el consentimiento se considere otorgado, será necesario que el usuario realice una acción claramente afirmativa, no siendo válida para ello el hecho de que el usuario desplace el puntero del ratón o pulse una tecla aleatoria del teclado. A criterio de la AEPD, podrá considerarse que navegar a una sección distinta del sitio web, cerrar el aviso de la primera capa o pulsar sobre un servicio, son acciones afirmativas claras.
Cualquiera de las fórmulas deberá ir acompañada de un enlace a un sistema o panel de configuración de gestión del consentimiento para las cookies, en el que el usuario pueda optar entre aceptarlas o no de forma granular. El acceso a este panel debe ser directo y accesible de forma permanente. Este panel debe incluirse asimismo en los casos en los que se opte por seguir utilizando la fórmula de ‘seguir navegando’, incluyendo la opción ‘Rechazar todas las cookies’, para que sea tan fácil retirar el consentimiento como otorgarlo.
Grado de responsabilidad de los players
La guía arroja luz sobre el papel que jugará cada uno de los actores en el cada más complejo ecosistema de la publicidad online. En este sentido, afirma taxativamente que «anunciantes, editores, agencias, redes publicitarias y otros agentes serán responsables del tratamiento cuando utilicen cookies propias y cuando, utilizando cookies de terceros, participen en la determinación de los fines y medios del tratamiento, aunque éste se realice a través de un encargado del tratamiento».
Por tanto, urge la revisión del aviso de cookies para adecuarlo a las recomendaciones realizadas por la AEPD, y analizar las utilizadas para adaptar la información a cada caso particular, valorar la estructura contractual que se ha definido con los diferentes actores y modificar, en su caso, el clausulado, equiparando la responsabilidad cuando sea necesario.
Dada la necesidad de dar cumplimiento a los requisitos establecidos en el RGPD, la LOPDgdd y la LSSI y disponer de datos que realmente puedan ser utilizados posteriormente para la prestación de servicios con plenas garantías y obtener la confianza de los usuarios, esta revisión debe acometerse de forma prioritaria y rigurosa.
Estamos a vuestra disposición para realizar el análisis jurídico de las distintas plataformas, apps o sitios web en los que se utilizan cookies que comporten tratamiento de datos personales.