A la vista de las recientes Directrices 3/2022 sobre patrones oscuros (disponibles en inglés) del Comité Europeo de Protección de Datos ("CEPD"), la Agencia Española de Protección de Datos ("AEPD") ha decidido actualizar su Guía sobre el uso de las cookies. Las empresas dispondrán de un plazo de 6 meses (hasta el 11 de enero de 2024) para implementar las nuevas obligaciones.
Las actualizaciones más relevantes son:
Con respecto al banner de cookies:
- En el banner de cookies deberá aparecer un botón de "rechazar todo" o un mecanismo similar.
- El botón "rechazar todo" no deberá ser menos atractivo, oculto, prominente o con un diseño que pueda inducir a error a los usuarios para que acepten las cookies (e.g., contrastes de colores difíciles de leer).
Este es un ejemplo oficial de banner de cookies de la AEPD:
Con respecto a la naturaleza de las cookies de personalización:
Las cookies de personalización (i.e., aquellas que permiten recordar información para que el usuario pueda acceder al servicio en determinadas condiciones que distinguen su experiencia de la de otros usuarios) sólo estarán exentas de consentimiento cuando sea el usuario quien elija dichas condiciones (e.g., que elija un idioma haciendo clic en la bandera del país correspondiente, la moneda para la transacción correspondiente o el tamaño o color de letra).
En estos casos las cookies no tienen por qué ser de sesión, ya que podría ser molesto para el usuario personalizar sus preferencias cada vez que visita el sitio web.
En caso de que estas cookies quieran utilizarse para otros fines (e.g., estadísticos, de marketing, etc.), seguirá siendo necesario el consentimiento.
Cookie paywalls (o mecanismo "Pay or Okey"):
La AEPD se suma a la corriente de otras autoridades de protección de datos de la UE (como la austriaca) y admite (sutilmente) los paywalls.
En concreto, la AEPD modifica sus anteriores directrices para incluir únicamente lo destacado en la siguiente frase: "Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies".
De esta manera, la AEPD acepta expresamente que dicha alternativa de acceso (si el usuario no quiere otorgar su consentimiento) pueda implicar un pago (o en general una contraprestación económica).
Aunque la AEPD mantiene el criterio del CEPD que establece que la alternativa deberá ser realmente similar a la opción que implica el consentimiento para las cookies y proporcionada por la misma entidad, no aclara / impone más limitaciones como han hecho otras autoridades de protección de datos de la UE (e.g., el precio de la alternativa de pago debe ser razonable y justo, las autoridades públicas no deben poder utilizar este mecanismo, etc.).
No obstante, los responsables del tratamiento deberán ser cautos y estar en condiciones de demostrar que ambas opciones son razonables y que el importe o las condiciones de pago no son demasiado onerosos de modo que los usuarios se vean "obligados" a otorgar su consentimiento.
Próximos pasos
- Revisar el mecanismo de consentimiento e implementar los cambios necesarios antes del 11 de junio de 2024.
- Evaluar si sus cookies de personalización requieren consentimiento o no.
- En caso de que el acceso al sitio web o a la aplicación esté sujeto al consentimiento o a una contraprestación económica, deberá evaluar si el consentimiento se ha otorgado libremente.
