Hace unos meses publiqué un artículo informando sobre los errores más frecuentes que se cometen cuando se utilizan cookies en un sitio web. Podéis leer aquí dicho artículo: https://www.mamenfernandez.com/errores-mas-frecuentes-en-el-cumplimiento-de-la-normativa-sobre-cookies/

Mediante el presente, quiero recordar esos errores que sigo observando en muchos sitios web y actualizar las indicaciones necesarias conforme a la nueva «Guía sobre el uso de cookies» que la Agencia Española de Protección de Datos acaba de publicar.

Se exponen a continuación los dos errores más frecuentes en la información y fórmulas de obtención del consentimiento para el uso de cookies:

1) Indicar que «las cookies son para mejorar la experiencia del usuario». En la primera capa informativa, es decir, en el banner inicial que vemos al entrar en un sitio web, según la Guía, «No serían válidas, por ejemplo, frases como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias comportamentales. También deben evitarse términos como “puede”, “podría”, “algún”, “a menudo”, y “posible”.»

Esto es algo que sigue viéndose con mucha frecuencia. Solo falta decir algo como «Usamos cookies para hacerle a usted un favor».

La Guía establece tres ejemplos sobre cuál podría ser el contenido del banner inicial, según el tipo de cookies y sus finalidades. Por supuesto, ninguno alude al uso de cookies para mejorar la navegación del usuario.

El ejemplo número 3 ha sido modificado respecto a la Guía anterior. Es muy importante tenerlo en cuenta porque en la Guía anterior se daba la posibilidad de recabar un consentimiento tácito para el uso de cookies, en contra de los principios del RGPD. En la actual Guía, se ha subsanado.

2) Remitir al usuario a los navegadores como única forma de que el usuario configure las cookies y pueda dar su consentimiento cuando así se exige. Hasta ahora, casi todas las webs en la segunda capa informativa daban al usuario la posibilidad de configurar las distintas cookies a través de las opciones que ofrece el navegador que se utilice. Así, se usaba la típica redacción: «Puede configurar las cookies mediantes las opciones que ofrece su navegador...» Y se exponían enlaces a las páginas de configuración de cookies o privacidad de los diferentes navegadores existentes en el mercado.

Pues bien, una Resolución de la AEPD recoge una sanción de 30.000 € a VUELING por no facilitar un mecanismo ágil para consentir o no el uso de cookies no necesarias para la navegación. Se puede encontrar en su sitio web: https://www.aepd.es/resoluciones/PS-00300-2019_ORI.pdf. De esta Resolución cabe destacar los siguientes párrafos:

«En el presente caso, si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otra cookie, sino que remite a la configuración de los navegadores para eliminarlas o bloquearlas, no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador.

No facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta selección el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva.»

Por tanto, deberá establecerse un procedimiento como el ejemplo que se expone a continuación, que permita al usuario configurar las cookies de forma ágil y sencilla usando herramientas existentes en el mercado, como Cookiebot:

Básicamente, se trata de implementar dentro de la segunda capa, unos «botones» para permitir que el usuario acepte o no la activación de las cookies que no sean técnicamente necesarias para la navegación. Aquellas que sí lo sean no tiene que autorizarlas el usuario, solo saber que existen, informándole sobre ellas.

Todo ello, independientemente de que además se siga incluyendo en la segunda capa la posibilidad de configurar las cookies desde el propio navegador.

No obstante, la Guía sobre el uso de cookies establece la siguiente excepción en caso de que se usen cookies de terceros que hayan sido inicialmente aceptadas por el usuario:

«Si el sistema de gestión o configuración de las cookies del editor no permite evitar la utilización de las cookies de terceros una vez aceptadas por el usuario, se facilitará información sobre las herramientas proporcionadas por el navegador o los terceros y se deberá advertir que si el usuario acepta cookies de terceros y posteriormente desea eliminarlas, deberá hacerlo desde su propio navegador o el sistema habilitado por los terceros para ello.»

Ejemplo: «Tenga en cuenta que, si acepta las cookies de terceros, deberá eliminarlas desde las opciones del navegador o desde el sistema ofrecido por el propio tercero«.