La AGPD aclara finalmente, a través de una resolución, la forma correcta de plantear las cookies a los usuarios.
Hasta ahora teníamos claro cuál era la información que se debía proporcionar al usuario en cada momento porque así lo había manifestado la propia AGPD a través de un modelo que debía ser adaptado a cada circunstancia concreta. Y quedaba claro que debía plantearse a través de lo que la propia AGPD llama ‘información por capas.
El problema era -proporcionando esa información y sabiendo el momento en que debía prestarse al usuario- saber si también era necesaria la previa autorización expresa del usuario para la instalación de cookies. Es decir, si era necesario plantear una pantalla en blanco pidiendo de forma previa la autorización expresa para la instalación de cookies o no.
La AGPD viene ahora, a través de la Resolución de 14 de enero de 2014, a decirnos que
- la falta de información previa la instalación de cookies SÍ es sancionable
- que la falta de autorización previa a la instalación de cookies NO es sancionable
Así, la forma correcta de plantear el aviso de cookies queda como sigue
Información por capas
La AGPD se reitera en la presentación por capas de la Guía sobre el uso de las cookies publicado por la propia entidad hace ya un tiempo.
Así, se plantea la información en dos capas:
Primera capa: debe contener la siguiente información mínima
- Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
- Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.
- Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
- Un enlace a la segunda capa informativa en la que se indica una información más detallada.
Esta información –manifiesta la propia AGPD– es necesaria para que el usuario conozca el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que éste pueda obtener información adicional.
Segunda capa: debe contener la siguiente información
- Definición y función de las cookies
- Tipo de cookies que utiliza la página web y su finalidad.
- Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
- Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.
- Definición y función de las Cookies
Insiste la AGPD en la necesidad de que la información proporcionada en esta segunda capa sea ‘completa y clara’ e incluya en particular la ‘tipología de las cookies realmente utilizadas’, ‘finalidad de las mismas’ e ‘identidad de quienes instalan y utilizan las cookies’
(Falta de) autorización no sancionable
De cumplirse estos requisitos de información, manifiesta la AGPD que se está cumpliendo la exigencia del Art. 22.2 de la LSSI del ‘consentimiento informado’. Y lo más importante, que la vulneración de ese requisito previo del ‘consentimiento informado’ no es sancionable de acuerdo con el Art 38.4.g) LSSI:
“Igualmente, ha quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, aunque la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g)”
Por el contrario, sí afirma en otro apartado de la misma resolución que la falta la información íntegra según el apartado anterior de este post, anula el consentimiento que se hubiera prestado y sería objeto de sanción
En conclusión, que la información completa por capas según se ha mostrado anteriormente en este Blog en la forma y con el modelo de aviso de cookies de acuerdo con las directrices de la AGPD sugeridas en su momento no es sancionable según la AGPD.
No me aclaro mucho, he seguido los pasos de lo que publicásteis en Diciembre, y he modificado un módulo de Prestashop para que solicite la confirmación a la carda de la web, con el consiguiente enlace a toda la documentación proporcionada amablemente por ustedes. ¿Es esto suficiente o no? … ¿tendríamos que hacer alguna modificación más?
Muchísimas gracias por vuestro magnífico trabajo.
Comentario by Miguel — febrero 1, 2014 @ 12:53
La entrada se basa en la primera resolución sancionadora por cookies de la AGPD en la que hace una interpretación de la norma. Algo que es sólo eso, una interpretación que tal vez podría cambiar en un futuro pero que de momento es la que es.
Siento no poder ser más claro, pero el problema viene de una norma (la ley) que ha recibido muchas críticas y que la AGPD trata de aclarar con los emdios que se le han dado, pero si la norma no es clara las interpretaciones tampoco pueden serlo.
Comentario by legisconsulting — febrero 5, 2014 @ 11:14