La AEPD ha actualizado Guía Sobre el Uso de las Cookies. Que no es norma, pero que son una serie de recomendaciones a la luz del RGPD y de la LOPDGDD que más nos vale seguir.
El documento es extenso, pero las novedades no son tantas.
Información
En primer lugar se mantiene la recomendación del sistema de información por capas, con una primera capa con la información esencial sin ‘rollos‘ innecesarios ni frases vacías de contenido del tipo «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted«.
Así, para esta primera capa, en función de las cookies que se usen y de la funcionalidad de las mismas, la AEPD sugiere una serie de textos
Ejemplo 1: Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ.
ACEPTAR COOKIES RECHAZAR COOKIES
Ejemplo 2: Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica AQUÍ para más información. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso clicando AQUÍ.
ACEPTAR
Ejemplo 3: Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias, en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Si continúas navegando, consideraremos que aceptas su uso.
Puedes configurar o rechazar la utilización de cookies u obtener más información AQUÍ.
Consentimiento (y sorpresa)
Es este último ejemplo el que probablemente marca la mayor novedad y más interés despertará entre los diseñadores de páginas Web, puesto que admite que la opción de ‘seguir navegando‘ constituye una prestación válida del consentimiento .
Si bien este tipo de consentimiento solo será válido si se cumplen requisitos de FORMA como
- Que el aviso se encuentra en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pueda existir seguridad de que el aviso no ha pasado desapercibido para el usuario.
- Que se incluya en el panel un botón para rechazar todas las cookies, para respetar el requisito de que sea tan fácil retirar el consentimiento como darlo.
Y que el usuario realice una acción que pueda calificarse como una clara acción afirmativa. A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación. O en dispositivos como el móvil o la tablet, cuando desliza la pantalla accediendo al contenido.
Y límites en cuento al FONDO, por cuanto no será válido en los casos en que a través de las cookies se realicen tratamientos de datos que requieran un consentimiento expreso, tales como:
- categorías especiales de datos personales del Art 9 RGPD
- que se tomen decisiones individuales automatizadas del Art 22 RGPD
- o se realicen transferencias internacionales de datos amparadas en el consentimiento de las del Capítulo V RGPD
Tiempo
Por una parte la AEPD recomienda valorar si es necesario la instalación de cookies persistentes en lugar de las de sesión, puesto que señala que, «para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad«. Y que es mucho más probable que se consideren como exceptuadas del deber de consentimiento las cookies de sesión que las persistentes.
Y en cuanto a las cookies persistentes instaladas, la AEPD viene a recomendar una actualización del consentimiento cada 2 años: «Esta Agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.»