La Agencia Española de Protección de Datos (AEPD) actualizó el 11 de julio de 2023 su Guía sobre el uso de cookies para adaptarla a las Directrices 03/2022, sobre patrones engañosos, del Comité Europeo de Protección de Datos (CEPD). 

Los nuevos criterios deberán implementarse, a más tardar, el 11 de enero de 2024, estableciéndose así un periodo transitorio de seis meses para la adaptación.

A continuación resumimos los requisitos que deberán ser aplicados en la primera y segunda capa de información en la implementación del banner o aviso de cookies.

Requisitos de información y apariencia en la primera capa: 

1. Se debe identificar al editor responsable del sitio web. No será necesaria la denominación social, siempre que sus datos identificativos completos figuren en otras secciones del sitio web (aviso legal, política de privacidad, etc.) y su identidad pueda desprenderse de forma evidente del propio sitio web (por ejemplo, cuando el propio dominio se corresponda con el nombre del editor o la marca con la que se identifica frente al público o dicho nombre o marca figuren claramente en el sitio web).
2. Se debe identificar las finalidades de las cookies que se utilizarán.
3. Se debe informar sobre si las cookies son propias (del responsable de la página web) o también de terceros asociados a él, sin que sea necesario identificar a los terceros en esta primera capa.
4. Se debe suministrar información genérica sobre el tipo de datos que se van a recopilar y utilizar en caso de que se elaboren perfiles de los usuarios (por ejemplo, cuando se utilicen cookies de publicidad comportamental).
5. Se especifica el modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies: 
   1. Se exige que los botones u otros mecanismos del banner de cookies sean similares entre ellos, fácilmente visibles. Estos botones deben estar al mismo nivel, es decir, sin remitir al usuario a otra capa o lugar diferente para rechazar o configurar las cookies. 
   2. Específicamente, se requiere que las opciones para aceptar, rechazar y configurar las cookies estén disponibles de manera equitativa, evitando el uso de combinaciones de colores y formas que inciten a la aceptación de las mismas. Por tanto:
      1. No se podrá dar al usuario la impresión de que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web.
      2. No se podrá empujar claramente al usuario a aceptar las cookies.
      3. El color o contraste del texto y los botones (o mecanismos equivalentes) no podrán ser obviamente engañosos para los usuarios, de forma que lleven a un consentimiento involuntario. No será válido, por ejemplo, que la opción para rechazar las cookies sea un botón con un texto que no contrasta lo suficiente con el color del botón y, por lo tanto, no pueda leerse.

El botón o mecanismo para configurar las cookies, esto es, administrar las preferencias del usuario, debe llevar a este directamente al panel de configuración, sin que tenga que desplazarse por grandes cantidades de texto buscando la información, que deberá seguir siendo accesible de forma permanente. Como se ha indicado anteriormente, el panel podrá integrarse en la segunda capa informativa.

En el panel de configuración debe indicarse o desprenderse claramente cómo guardar la selección realizada por el usuario. A estos efectos, sería válido por ejemplo un botón con el texto “Guardar selección”, “Guardar configuración” o textos similares.

Para facilitar la selección, en el panel podrán además implementarse dos botones, uno para seleccionar todas las categorías de cookies y otro para rechazarlas todas si el usuario las ha seleccionado previamente, siendo esta opción recomendable cuanto mayor sea el número distinto de categorías en las que se hayan clasificado las cookies. Si el usuario guarda su elección sin haber seleccionado ninguna cookie, equivaldrá al rechazo de todas las cookies.

Se debe facilitar un enlace claramente visible dirigido a una segunda capa informativa en la que se incluya una información más detallada, utilizando, por ejemplo, el término “Cookies”, “Política de cookies” o “Más información, pulsa aquí”. El panel de configuración de cookies podrá estar integrado en esta segunda capa, siempre que, al facilitar acceso al mismo (por ejemplo, desde un botón o enlace incluido en la primera capa), ese acceso sea directo, esto es, que el usuario no tenga que navegar dentro de esta segunda capa para localizar el panel de configuración.

Requisitos de información y apariencia en la segunda capa: 

Además de las novedades indicadas en el apartado anterior, a continuación resumimos cuáles son los requisitos de información en la segunda capa que, en cualquier caso, ya deberían tener implantadas las organizaciones porque no son novedosos.

1. Debe incluir la definición y función genérica de las cookies.
2. Se debe informar sobre el tipo de cookies que se utilizan y su finalidad.
3. Se debe identificar quién utiliza las cookies:
   1. Si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros con los que el editor haya contratado la prestación de un servicio para el cual se requiera el uso de cookies, con identificación de  estos últimos.
   2. En línea con el requisito de concisión que establece el RGPD, no será necesario que la información concreta sobre los terceros (es decir, su nombre o marca con la que el público pueda conocerlos y, en su caso, el enlace a la información que ofrece sobre sus cookies) sea directamente visible en la política de cookies, sino que podrán utilizarse mecanismos como botones que desplieguen esa información más específica o texto emergente que aparezca al pasar el puntero del ratón por encima, y ello siempre que el usuario pueda acceder fácilmente a la información si así lo desea.
4. Se debe informar  sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies
5. En su caso, se debe informar sobre las transferencias de datos a terceros países realizadas por el editor.
6. Si se llevan a cabo toma de decisiones automatizadas que impliquen la elaboración de perfiles, se informará de la lógica utilizada.
7. Se debe indicar el periodo de conservación de las cookies.

En relación con el resto de información exigida por el artículo 13 del RGPD que no se refiera de forma específica a las cookies se puede remitir o enlazar a la política de privacidad.