La Agencia Española de Protección de Datos (AEPD) se ha visto en la tesitura de actualizar su Guía sobre el uso de las cookies para adaptarla a las últimas directrices establecidas por el Comité Europeo de Protección de Datos (CEPD).
Esta actualización supone una modificación del documento publicado el pasado 8 de noviembre de 2019 con respecto a los criterios estipulados para obtener el consentimiento informado de los usuarios previamente a la descarga de tecnología cookie en sus dispositivos.
Tras la revisión de las Directrices 5/2020 sobre consentimiento, el CEPD ha manifestado que la opción de “seguir navegando” no constituye en ningún caso una forma válida de prestar el consentimiento. Ya que tales acciones pueden ser difíciles de distinguir de otras interacciones llevadas a cabo por el usuario en el sitio web. Por lo tanto, no sería posible interpretar que el consentimiento es inequívoco. Como sí ocurriría en caso de que el usuario procediese a clicar un botón de “aceptar”, siendo a nivel probatorio ésta última fórmula la más apropiada.
Por lo tanto, la AEPD ha adoptado estos criterios y debemos implementar un botón de aceptación expresa para poder descargar cookies en los dispositivos de los usuarios así como la forma de poder configurar la aceptación o no de cada una de las cookies que se vayan a instalar.
Sin la aceptación del usuario no se deben instalar cookies
Recordamos que las cookies técnicas, o sea, las que son necesarias para el funcionamiento de la web están exentas de la recogida del consentimiento.
La AEPD ha otorgado un «período de adaptación» hasta el 31 de octubre de 2020 para implementar los nuevos requisitos en materia de cookies:
La AEPD sigue sancionando por el tema de las cookies, como ejemplo dos procedimientos en 2020 (PS/00036/2020 y PS/00092/2020), ambos con una sanción de 3.000€ por la infracción del artículo 22.2 de la LSSI, respecto de su Política de Cookies:
- Política de cookies de la página web reclamada, en su primera capa (página inicial), NO se proporciona información de las finalidades de las cookies que se utilizarán y en la segunda capa (política de cookies), NO se proporciona información
- NO se proporciona información sobre la identidad y las características de cookies propias que se instalan y del tiempo que permanecen activas en el equipo terminal ni tampoco sobre las cookies de terceros y para su gestión sólo se remite al navegador que esté instalado en el equipo tampoco, ningún mecanismo que permita rechazar todas las cookies.
Esta Infracción de la LSSICE, que considera como tal: “Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.”, pudiendo ser sancionada con multa de hasta 30.000 €, de acuerdo con el artículo 39 de la citada LSSICE.