De acuerdo con las últimas directrices del Comité Europeo de Protección de Datos y, posteriormente la actualización de la Guía de Cookies por parte de la Agencia Española de Protección de Datos, AEPD, antes del 31 de octubre de 2020, el uso de cookies de las páginas web en España, debería de haberse adaptado a la nueva Guía de la AEPD.
En concreto, se establecen las siguientes modificaciones:
- Acción Afirmativa del usuario
- Información de las Cookies (por capas, clara y en lenguaje sencillo).
- Prohibición de Muros de Cookies (ventanas emergentes que bloquean el contenido y el acceso al mismo, obligando a aceptar el uso de las cookies para poder acceder y navegar).
- Las expresiones “Seguir navegando” o “Si continúa navegando se entenderá que acepta las cookies”, ya no son válidas.
- Nulidad de las casillas premarcadas de aceptación de cookies.
- Es obligatorio requerir de una acción del usuario: Aceptación o Rechazo.
Respecto de las cookies y el consentimiento, es preciso aclarar, que existen cookies, para las que no es necesario el consentimiento del usuario, como son las cookies de “entrada del usuario”, de “autenticación o identificación de usuario” (únicamente de sesión), entre otras. Sin embargo, para todas aquellas cookies, que no estén expresamente excluidas en la Guía de la AEPD, sí es necesario el consentimiento del usuario.
El consentimiento
¿Cómo debe de ser el consentimiento? El consentimiento debe de ser claro e inequívoco por lo que opciones tales como "seguir navegando" no constituye en ninguna circunstancia una forma válida de prestar el consentimiento en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario, por lo que no sería posible entender que el consentimiento es inequívoco.
Acceso y funcionalidades
El Comité ha precisado que, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies, por lo tanto no puede bloquearse el acceso a la web, a pesar de que el usuario no haya aceptado las cookies, porque podría entenderse como un impedimento el ejercicio de un derecho legalmente reconocido al usuario.
¿Qué consecuencias conlleva no haber actualizado nuestra página web antes del 31 de octubre? La nueva Guía de la AEPD, pretende evitar y reiterar, las situaciones sancionables, como por ejemplo: en su resolución de fecha 21/10/2020 sanciona a Iberia Líneas aéreas de España con 30.000 euros por no dar a los usuarios la posibilidad de negarse a sus cookies y obligarlos a utilizarlas de querer navegar por su web por infracción del artículo 22.2.
Por lo tanto, el aviso de cookies debe aparecer siempre, de forma permanente, en lugar visible, figurando " Sí, acepto", "No, Rechazo" o "Más información" con enlace a la política de privacidad y cookies (donde se especificarán las cookies, tipo y finalidad) y se pedirá consentimiento para aquellas que sí lo requieran. Se requiere una acción por parte del usuario, pero en ningún caso la expresión “seguir navegando” supone que haya dado su consentimiento. No se puede impedir el acceso y navegación por la web a pesar de que el usuario no haya consentido el uso de cookies.
Derecho del usuario y consentimiento
El Comité Europeo de Protección de Datos revisaba en el pasado mes de mayo las directrices sobre consentimiento con el fin de aclarar su posición en relación con dos cuestiones: la validez de la opción “seguir navegando” como forma de prestar el consentimiento por parte de los usuarios y la posibilidad de utilizar los conocidos como “muros de cookies”, es decir, de limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de cookies.
La Guía de nuevas directrices elaborada por la AEPD explicita que no podrán utilizarse los denominados “muros de cookies" que no ofrezcan una alternativa al consentimiento. Este criterio resulta especialmente importante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario, por ser, por ejemplo, el acceso a un sitio web el único medio facilitado al usuario para ejercitar tal derecho.
