La Agencia Española de Protección de Datos ha publicado una actualización de su guía de cookies que supone que muchas organizaciones tengan que realizar cambios en sus actuales políticas de cookies.
Resumimos a continuación los principales cambios que están relacionados con la forma de obtener el consentimiento expreso del usuario a la hora de decidir qué cookies permite instalar en su navegador y en sus dispositivos.
Es muy importante tener en cuenta que deben ser implementados antes del 31 de octubre de 2020, fecha límite que ha marcado la propia Agencia.
Principales actualizaciones
- Se debe obtener el consentimiento a través de una clara acción afirmativa.
- Será necesario que la información se complete con un sistema o panel de configuración en el que el usuario pueda aceptar o no las cookies de forma individual o un enlace que conduzca a dicho sistema.
Estos son los tres ejemplos que propone la Agencia como formas de informar, configurar y otorgar el consentimiento:
El enlace o botón de “configurar” debe conducir directamente al panel de configuración, que debe seguir siendo accesible permanentemente en la web y podrá incluir una opción para aceptar o rechazar todas las cookies. La opción “aceptar” puede sustituirse por palabras equivalentes. Y la opción o enlace de “configurar” puede sustituirse por “opciones”, “más opciones” o palabras similares, siempre que se haya informado con claridad al usuario.
Se debe respetar la regla de que sea igual de fácil otorgar que rechazar el consentimiento en el banner de aceptación de cookies.
En caso de utilización de cookies de terceros, se debe facilitar la información de las herramientas disponibles en el navegador o herramientas de terceros con las que el usuario puede eliminar las cookies posteriormente. Para ello se podrá utilizar la siguiente fórmula: “Tenga en cuenta que, si acepta las cookies de terceros, deberá eliminarlas desde las opciones del navegador o desde el sistema ofrecido por el propio tercero”.
Ello sin perjuicio de que se deba disponer del sistema de configuración de cookies propio de la web mencionado anteriormente.
En cuanto a la forma de prestar el consentimiento, se considera que las modalidades de prestación del consentimiento pueden ser variadas pero se han producido modificaciones muy importantes:
Antes | Ahora |
Se consideraba que para recabar el consentimiento bastaba con una conducta del usuario que ofreciera suficiente certeza de que se presta un consentimiento informado, esto generaba demasiados problemas ya que había que tener en cuenta la información de que dispone el usuario y del tipo de acción que ha realizado este. | Únicamente se considerará que el usuario ha prestado el consentimiento cuando haya realizado una clara acción afirmativa, se entiende que la obtención del consentimiento a través de un click o de una conducta similar será correcta a la hora de obtener el consentimiento. |
Había que informar al usuario en el banner de aceptación, previamente y con claridad, de qué acciones suyas podían entenderse como aceptación de las cookies, entre estas por ejemplo, seguir navegando por la web. | Se entenderá que el uso de un botón del tipo “aceptar” es información suficiente para el usuario, en cambio si se utilizan opciones más complejas deberá explicarse al usuario en el banner de aceptación. Que el usuario siga navegando por la web no es suficiente para entender que presta su consentimiento, al igual que tampoco lo será la consulta de la segunda capa de información o que este gestione sus preferencias. |
Se entendía que para recabar el consentimiento en escenarios en los que el el RGPD exige el consentimiento explícito del usuario (categorías especiales de datos), este podía obtenerse mediante botones de aceptación acompañados de la posibilidad de gestionar las cookies, no siendo válida la modalidad de aceptación de “seguir navegando por la web”. | Para estos escenarios SÓLO se podrá obtener el consentimiento del usuario mediante botones de aceptación, además debe de incluir una leyenda con el término “consiento” y debe especificarse aquellas categorías especiales de datos sobre las que se está consintiendo. |
En cuanto a la duración del consentimiento otorgado, se recomienda que no supere la duración de 24 meses y se que renueve en intervalos apropiados.
En cuanto a la posibilidad de denegación de acceso al servicio en caso de rechazo de las cookies, no podrán utilizarse los llamados “muros de cookies”. Esto es, la denegación de prestación de un servicio al usuario por la no aceptación de las cookies cuando no ofrezcan alternativas a la prestación del consentimiento. Sobre todo en aquellos casos en los que se impediría el acceso a un derecho legalmente reconocido.