Errores más frecuentes en el cumplimiento de la normativa sobre cookies

Taller: «Marco legislativo del entorno digital»
27 septiembre, 2018
Teletrabajo. Medidas de seguridad.
22 abril, 2020

La «Guía sobre el uso de las cookies» de noviembre de 2019 que podemos encontrar en la web de la Agencia Española de Protección de Datos resulta bastante compleja y algo contradictoria en algún punto. No obstante, se observa que poco a poco los titulares de los sitios webs se van poniendo al día con los requisitos legales sobre el uso de cookies. O al menos, eso intentan.

Independientemente del extenso contenido de dicha Guía cuya lectura no queda más remedio que sufrir, y de las cookies que cada uno utilice, el objetivo de este artículo es destacar los errores más frecuentes que se cometen al intentar aplicar el contenido de la Guía, teniendo en cuenta que ya tenemos claro que la información se establece en dos capas. Se exponen a continuación, dichos errores:

1) Indicar que «las cookies son para mejorar la experiencia del usuario». En la primera capa informativa, es decir, en el banner inicial que vemos al entrar en un sitio web, según la Guía, «No serían válidas, por ejemplo, frases como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias comportamentales. También deben evitarse términos como “puede”, “podría”, “algún”, “a menudo”, y “posible”.»

Esto es algo que sigue viéndose con mucha frecuencia. Solo falta decir algo como «Usamos cookies para hacerle a usted un favor».

La Guía establece tres ejemplos sobre cuál podría ser el contenido del banner inicial, según el tipo de cookies y sus finalidades. Por supuesto, ninguno alude al uso de cookies para mejorar la navegación del usuario.

 

 

De estos ejemplos, destaca el tercero, por ser más laxo respecto a las exigencias legales. Algo que resulta un poco incomprensible, pero ahí está.

2) Remitir al usuario a los navegadores como única forma de que el usuario configure las cookies y pueda dar su consentimiento cuando así se exige. Hasta ahora, casi todas las webs, en la segunda capa informativa, daban al usuario la posibilidad de configurar las distintas cookies a través de las opciones que ofrece el navegador que se utilice. Así, se usaba la típica redacción: «Puede configurar las cookies mediantes las opciones que ofrece su navegador...» Y se exponían enlaces a las páginas de configuración de cookies o privacidad de los diferentes navegadores existentes en el mercado.

Pues bien, una Resolución de la AEPD recoge una sanción de 30.000 € a VUELING por no facilitar un mecanismo ágil para consentir o no el uso de cookies no necesarias para la navegación. Se puede encontrar en su sitio web: https://www.aepd.es/resoluciones/PS-00300-2019_ORI.pdf. De esta Resolución cabe destacar los siguientes párrafos:

«En el presente caso, si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otra cookies, sino que remite a la configuración de los navegadores para eliminarlas o bloquearlas, no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador.

No facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta selección el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva

Por tanto, deberá establecerse un procedimiento como el ejemplo que se expone a continuación, que permita al usuario configurar las cookies de forma ágil y sencilla usando herramientas existentes en el mercado, como Cookiebot:

 

 

Básicamente, se trata de implementar dentro de la segunda capa, unos «botones» para permitir que el usuario acepte o no la activación de las cookies que no sean técnicamente necesarias para la navegación. Aquellas que sí lo sean no tiene que autorizarlas el usuario, solo saber que existen informándole sobre ellas.

Todo ello, independientemente de que además se siga incluyendo en la segunda capa la posibilidad de configurar las cookies desde el propio navegador.

No obstante, la Guía sobre el uso de cookies, establece la siguiente excepción en caso de que se usen cookies de terceros que hayan sido inicialmente aceptadas por el usuario:

«Si el sistema de gestión o configuración de las cookies del editor no permite evitar la utilización de las cookies de terceros una vez aceptadas por el usuario, se facilitará información sobre las herramientas proporcionadas por el navegador o los terceros y se deberá advertir que si el usuario acepta cookies de terceros y posteriormente desea eliminarlas, deberá hacerlo desde su propio navegador o el sistema habilitado por los terceros para ello. EJEMPLO: Puede usted permitir o bloquear las cookies, así como borrar sus datos de navegación (incluidas las cookies) desde el navegador que usted utiliza. Consulte las opciones e instrucciones que ofrece su navegador para ello. Tenga en cuenta que si acepta las cookies de terceros, deberá eliminarlas desde las opciones del navegador»

 

Mamen Fernández
Mamen Fernández
Abogada TIC & Compliance