Catedra Fundación Ramón Areces de Distribución Comercial
Catedra Fundación Ramón Areces de Distribución Comercial
Universidad de Oviedo
Catedra Fundacion Ramon Areces de Distribucion Comercial
Las nuevas directrices europeas sobre el uso de las cookies

Las nuevas directrices europeas sobre el uso de las cookies

28 Sep 2020

Ignacio Fernández Chacón
Profesor Ayudante Doctor de Derecho Civil
Universidad de Oviedo

    El 28 de julio de 2020 la Agencia Estatal de Protección de Datos (AEPD) publicó la actualización de su Guía sobre el uso de cookies, a efectos de adaptar el uso de tales cookies a las Guidelines 05/2020 on consent under Regulation 2016/679 adoptadas por el European Data Protection Board (EDPB) el 4 de mayo de 2020. Tras una moratoria de tres meses desde que se publicaron, el plazo de implantación de estos nuevos criterios sobre el uso de cookies finaliza el próximo día 31 de octubre de este año, momento a partir del cual los mecanismos encaminados a recabar el consentimiento para el uso de cookies contrarios a las pautas contenidas en dicha Guía de la AEPD y en la Directrices del EDPB.

    Para comprender las referidas pautas regulatorias formuladas por el EDPB y las subsiguientes adaptaciones establecidas por la AEPD ha de partirse de lo dispuesto en el art. 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y del comercio electrónico, en el que se reconoce la posibilidad e utilización de las cookies, a cuyo tenor «Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos».

    La clave pues de la licitud del uso de las cookies depende de la existencia de un consentimiento informado prestado por los usuarios para el tratamiento de los datos recabados por tales cookies. Consentimiento informado cuyos requisitos y delimitación constituyen, precisamente, el objeto de la actualización llevaba a cabo por el EDPB el pasado mes de mayo, lo que explica la necesidad por parte de la AEPD de revisar su política respecto al uso de las cookies a la luz de las nuevas directrices europeas.

    Actualmente, la definición del consentimiento para el tratamiento de datos personales se encuentra en el art. 4.11 del Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, entendiendo como tal «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».

    Este carácter activo, informado y libre del consentimiento prestado por el usuario excluye la posibilidad de considerar como válido el prestado mediante la marcación de la opción de “seguir navegando” o el uso de los denominados “muros de cookies” o “cookie walls”, que impiden acceder al contenido de la página o aplicación, salvo que el consumidor acepte la política de cookies sin ofrecer otra posibilidad al consentimiento.

    Tal y como ejemplifica y explica el EDPB, en tales casos «A website provider puts into place a script that will block content from being visible except for a request to accept cookies and the information about which cookies are being set and for what purposes data will be processed. There is no possibility to access the content without clicking on the “Accept cookies” button. Since the data subject is not presented with a genuine choice, its consent is not freely given. This does not constitute valid consent, as the provision of the service relies on the data subject clicking the “Accept cookies” button. It is not presented with a genuine choice».

    Asimismo, so pretexto de dicha definición del consentimiento para el tratamiento de datos personales y los requisitos a ella aparejados, la AEPD insiste en la necesidad de que la información facilitada acerca del uso de cookies resulte transparente para los usuarios. Dicha transparencia se traduce en la necesidad de que en la información sobre la política de cookies se incluya:

1. La definición y función genérica de las cookies como mecanismo encaminado a la recopilación de datos del usuario.

Ejemplo formulado por la AEPD: ¿Qué son las cookies? Este sitio web utiliza cookies y/o tecnologías similares que almacenan y recuperan información cuando navegas. En general, estas tecnologías pueden servir para finalidades muy diversas, como, por ejemplo, reconocerte como usuario, obtener información sobre tus hábitos de navegación, o personalizar la forma en que se muestra el contenido. Los usos concretos que hacemos de estas tecnologías se describen a continuación.

2. El tipo de cookies que se utilizan y su finalidad.

Ejemplo formulado por la AEPD: ¿Qué tipos de cookies se utilizan en esta página web? De análisis: son aquellas que, tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos. Publicitarias comportamentales: son aquellas que, tratadas por nosotros o por terceros, nos permiten analizar sus hábitos de navegación en Internet para que podamos mostrarle publicidad relacionada con su perfil de navegación.

3. La identificación de quién utiliza las cookies (el editor o también terceros contratados por el editor para la prestación de un servicio que requiera el uso de cookies, en cuyo caso estos últimos deberán estar debidamente identificados mediante mecanismos fácilmente accesibles para el usuario).

Ejemplo formulado por la AEPD: Cookies de terceros. Cookies de análisis: permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos. + Conoce a los terceros.

4. La forma de aceptar, denegar o revocar el consentimiento para el uso de las cookies a través del sistema de configuración de cookies habilitado en cada caso por el editor y la imposibilidad, en su caso, de deshabilitar las cookies de terceros a través de las herramientas del navegador web o por tales terceros.

5. Las transferencias de datos a terceros países que lleva a cabo bien el editor o bien los terceros que utilizan las cookies.

Ejemplo formulado por la AEPD: Puedes informarte de las transferencias a terceros países que, en su caso, realizan los terceros identificados en esta política de cookies en sus correspondientes políticas (ver los enlaces facilitados en el apartado “Cookies de terceros”).

    Es importante destacar que la Guía de la AEPD se detiene en la posibilidad de que dicha información sobre el uso de las cookies se facilite por capas, indicando los aspectos que deben incluirse en la primera y en la segunda capa y su forma de acceso. Los aspectos informativos anteriormente referidos en los puntos 1-5 quedarían relegados a la segunda capa, de forma accesible permanentemente a través del propio sitio web o aplicación. Por su parte, en la primera capa deberá incluirse una información “mínima” al usuario sobre la política de uso de cookies y su aceptación, tipo: «utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación. Clica AQUÍ para más información. Puedes acceder a las cookies pulsando el botón "aceptar" o configurarlas o rechazar su uso pulsando en el botón "configurar"».

    Respecto a la forma a través de la cual debe mostrarse dicha información sobre la política de cookies a los usuarios, la AEPD insiste en la exigencia de que:

  1. Resulte concisa, transparente e inteligible, que permita su comprensión por el usuario medio.
  2. El lenguaje empleado por el prestador del servicio resulte claro y sencillo, evitando frases que puedan confundir o desvirtuar el mensaje de cara al usuario, motivo por el cual se excluye la validez del uso de frases tales como: “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”; y “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias comportamentales.
  3. Sea de fácil acceso para el usuario, evitando que éste tenga que buscar la información. Dicha facilidad implica la necesidad de habilitar enlaces especialmente visibles que le redirijan a la información correspondiente con títulos tales como “política de cookies” o “cookies”. A este respecto, la AEPD proporciona una serie de pautas a seguir encaminadas a la potenciación de la accesibilidad y visibilidad de la políticas de cookies por el prestador del servicio (formato del enlace y su posicionamiento, denominación descriptiva e intuitiva…), incidiendo sobremanera en la necesidad de facilidad de acceso al sistema de gestión de tales cookies a través de la propia página web, aplicación o servicio en línea por parte del usuario (considerando que se cumple tal exigencia cuando el sistema de gestión se integra en la propia política de cookies o se habilita un enlace que permite acceder de forma directa a dicho sistema).

    Como puede observarse, son muchos los casos en los que las páginas webs o aplicaciones no cumplen con estas nuevas pautas regulatorias sobre el uso de las cookies, por lo que habrá que ver si de aquí al 31 de octubre actualizan debidamente su política de cookies, pues en caso contrario serán muchos los expedientes sancionadores a iniciar por parte de la AEPD. Habrá pues que esperar para ver cómo desenvuelven los acontecimiento a partir de dicha fecha para poder valorar el impacto en el “mercado de las cookies” de la nueva regulación impulsada en el ámbito europeo por el EDPB.