El mes de julio de 2023, la Agencia Española de Protección de Datos (AEPD) actualizó la Guía sobre el uso de las cookies, incorporando novedades recogidas en las Directrices 03/2022 sobre patrones engañosos en redes sociales, publicadas por el Comité Europeo de Protección de Datos (CEPD), así como introduciendo una serie de modificaciones.
La incorporación más destacable es la referente a las acciones de aceptar o rechazar cookies, que deben presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas.
En concreto, deben contener:
- Un botón o mecanismo equivalente, fácilmente visible, con las palabras “Aceptar cookies, “Aceptar”, “Consentir” o textos similares, para consentir el uso de todas las cookies.
- Un botón o mecanismo equivalente, similar al anterior (si se utiliza botón para aceptar, deberá utilizarse un botón para rechazar), con las palabras “Rechazar cookies”, “Rechazar” o textos similares, para rechazar el uso de las cookies (salvo aquellas que estén exentas de la obligación de obtener un consentimiento informado).
- Un botón o mecanismo equivalente, claramente visible, pero no necesariamente similar a los anteriores, que despliegue o lleve a un panel de configuración que permita aceptar o rechazar las cookies de forma granular, al menos en función de su finalidad.
El usuario y las cookies
En todo caso, teniendo en cuenta el texto del aviso y los mecanismos empleados, la función que cumple cada uno de estos mecanismos deberá ser evidente para el usuario. Además:
- No se podrá dar al usuario la impresión que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web.
- No se podrá empujar claramente al usuario a aceptar las cookies.
- El color o contraste del texto y los botones (o mecanismos equivalentes) no podrán ser obviamente engañosos para los usuarios, de forma que lleven a un consentimiento involuntario. No será válido, por ejemplo, que la opción para rechazar las cookies sea un botón con un texto que no contraste lo suficiente con el color del botón y, por lo tanto, no pueda leerse.
La AEPD facilita dos ejemplos sobre un mismo supuesto en el que se utilizan cookies propias y de terceros para fines de análisis y publicidad comportamental:
Además de lo anterior, en el caso de las cookies de personalización, cuando es el usuario el que toma decisiones sobre ellas, se trata de cookies técnicas que no requieren de consentimiento, sin que puedan ser utilizadas para otras finalidades. Por ejemplo, la elección del idioma de la web o la moneda en que desea realizar las compras.
Sin embargo, cuando es el editor el que adopta este tipo de decisiones sobre las cookies de personalización basándose en la información que obtiene del usuario, deberá informar sobre ello ofreciendo de forma destacada la opción de aceptarlas o rechazarlas. Tampoco en este caso el editor podrá utilizarlas para otras finalidades.
En relación con los muros de cookies, siguiendo las directrices del CEPD sobre el consentimiento, podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies. Conforme establecen las Directrices 05/2020 sobre el consentimiento del CEPD, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.
Dichas modificaciones, así como el resto de criterios recogidos en la Guía, deberán implementarse, como máximo, el 11 de enero de 2024, por lo que les recomendamos que revisen con sus informáticos sus páginas web, a los efectos de cumplir con lo dispuesto en la citada Guía.
Para cualquier cuestión al respecto, no duden en ponerse en contacto con nuestro despacho.
