La Agencia Española de Protección de Datos, AEPD, acaba de publicar el pasado mes de julio, la actualización de la Guía sobre el uso de las Cookies, la cual responde a su adaptación a las Directrices 03/2022 sobre patrones engañosos en redes sociales, del Comité Europeo de Protección de Datos. Los nuevos criterios deberán implementarse por las empresas obligadas (en sus webs), a más tardar, el 11 de enero de 2024, estableciéndose así un periodo transitorio de seis meses para la adaptación.
La presente actualización de la Guía de Cookies, tiene por finalidad ofrecer orientaciones sobre cómo cumplir las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, LSSI, en relación con el Reglamento General de Protección de Datos, RGPD y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales, LOPDGDD, todo ello, como decíamos, bajo los últimos criterios del Comité Europeo. En cualquier caso, los principios que inspiran las obligaciones legales impuestas por la diferente normativa son dos: la obligación de transparencia y la obligación de obtención del consentimiento.
Así pues, el artículo 22 de la LSSI y la guía se refieren a la utilización de cookies y tecnologías similares utilizadas para almacenar y recuperar datos de un equipo terminal (por ejemplo, un ordenador, un teléfono móvil o una tablet) de una persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información. La citada norma también resulta de aplicación al empleo de técnicas de fingerprinting, es decir, a las técnicas de toma de la huella digital del dispositivo.
¿QUÉ ES LO QUE CAMBIA?
En primer lugar, las acciones de aceptar o rechazar cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas.
En segundo lugar, el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas (por ejemplo, la elección del idioma de la web o la moneda en la que desea realizar transacciones), se trata de cookies técnicas que no requieren de consentimiento, sin que puedan ser utilizadas para otras finalidades.
Sin embargo, cuando es el editor dela web el que adopta este tipo decisiones sobre las cookies de personalización basándose en la información que obtiene del usuario deberá informar sobre ello ofreciendo de forma destacada la opción de aceptarlas o rechazarlas. En este caso, el editor tampoco podría utilizarlas para otras finalidades.
En tercer lugar, uno de los cambios más llamativos es, la opción de rechazar todas las cookies, lo cual puede dar lugar a supuestos en los que la no aceptación o rechazo de la utilización de las mismas impidiese el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informase al usuario y se ofreciese por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. La nueva versión de la Guía aclara que dicha alternativa no tendrá por qué ser necesariamente gratuita. En la mayoría de los supuestos, el rechazo de las cookies no impedirá el acceso a los servicios de la web, pero pueden existir, casos muy concretos, en los que, sin la utilización de las cookies y, de su aceptación, no se pueda prestar el servicio, para éstos contados casos, cabría la posibilidad de que la alternativa para prestar el servicio sin uso de cookies fuera de pago.
Por último, la AEPD ha venido interpretando las infracciones sobre la información y transparencia de las cookies, al no cumplir estas obligaciones, como leves, imponiendo, de media, multas de 3.000 euros.
