La AEPD ha actualizado su Guía sobre el uso de cookies para adaptarla a las nuevas directrices 03/2022 del Comité Europeo de Protección de Datos (CEPD/EDPB) sobre patrones engañosos.
En la actualización se ha tenido asimismo en cuenta el informe adoptado por el grupo de trabajo creado en el seno del CEPD para analizar los banners de cookies.
Guía sobre el uso de las cookies (julio 2023): https://www.aepd.es/es/documento/guia-cookies.pdf
En este documento analizamos los cambios producidos de la siguiente forma:
Debemos tener en cuenta que la nueva guía sigue la misma clasificación que la guía anterior, por lo que solo enumeraremos los apartados que contienen actualizaciones, ya sea por contenido nuevo o por contenido suprimido.
Han sido modificados y/o actualizados los siguientes apartados de la guía 2020:
2.1.1. Tipos de cookies según la entidad que las gestione
3.1.2.2. Información por capas
3.2.1. El consentimiento como base para el cumplimiento de la normativa
3.2.3. Modalidades de obtención del consentimiento
3.2.4. Consentimiento de menores de 14 años
3.2.10. Posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies
1. INTERPRETACIÓN DE LOS CAMBIOS REALIZADA POR PRIVACY DRIVER
2. MODIFICACIONES DE LA GUÍA 2023 EN RELACIÓN CON LA VERSIÓN 2020
2.1.1. Tipos de cookies según la entidad que las gestione
Pág. 12
b) Cookies de preferencias o personalización: (…) Estas cookies de preferencias que afectan a la interfaz de usuario no necesariamente tendrán que ser de sesión, ya que solicitar que el usuario determine sus preferencias a estos efectos cada vez que se visita un sitio web o se accede a una aplicación puede resultar molesto y provocarle fatiga. Ahora bien, para que estas cookies se consideren exentas, su uso deberá limitarse al necesario para su propósito, y la información que pueda desprenderse de la selección del usuario no podrá emplearse para otros fines (por ejemplo, para la personalización de contenidos publicitarios) ni para elaborar un perfil del usuario.
3.1.2.2. Información por capas
Págs. 19-22
En la primera capa, que para mayor claridad podrá identificarse bajo un término de uso común (como, por ejemplo, “cookies”), se incluiría la siguiente información:
(…)
e) Modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies. con la advertencia, en su caso, de que, si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.
f) Un enlace claramente visible dirigido a una segunda capa informativa en la que se incluya una información más detallada, utilizando, por ejemplo, el término “Cookies”, “Política de cookies” o “Más información, pulsa aquí”. El panel de configuración de cookies podrá estar integrado en esta segunda capa, siempre que, al facilitar acceso al mismo (por ejemplo, desde un botón o enlace incluido en la primera capa), Este mismo enlace podrá utilizarse para conducir al usuario al panel de configuración de cookies, ese acceso sea directo, esto es, que el usuario no tenga que navegar dentro de esta segunda capa para localizar el panel de configuración.
En conexión con el punto e) anterior de esta primera capa informativa, esta deberá contener:
a) Un botón o mecanismo equivalente, fácilmente visible, con las palabras “Aceptar cookies”, “Aceptar”, “Consentir” o textos similares, para consentir el uso de todas las cookies.
b) Un botón o mecanismo equivalente, similar al anterior (si se utiliza un botón para aceptar, deberá utilizarse un botón para rechazar), con las palabras “Rechazar cookies”, “Rechazar” o textos similares, para rechazar el uso de cookies (salvo aquellas que estén exentas de la obligación de obtener un consentimiento informado).
c) Un botón o mecanismo equivalente, claramente visible, pero no necesariamente similar a los anteriores, que despliegue o lleve a un panel de configuración que permita aceptar o rechazar las cookies de forma granular, al menos en función de su finalidad.
Como buena práctica, este panel de configuración no debería incluirse en aquellos casos en los que solo se utilicen cookies para una finalidad y, por lo tanto, el usuario solo pueda elegir entre aceptar o rechazar las cookies correspondientes a esa finalidad. No obstante, dado que las cookies que se utilizan pueden variar con el tiempo (por ejemplo, inicialmente podrían estar utilizándose únicamente cookies para fines de análisis, pero luego utilizarse también para fines de personalización, y después volver a utilizarse únicamente cookies de análisis), el panel de configuración y el mecanismo de acceso al mismo podrán mantenerse incluso cuando no sean estrictamente necesarios, para así evitar cambios recurrentes en el aviso de cookies y los costes que ello puede conllevar.
En todo caso, teniendo en cuenta el texto del aviso y los mecanismos empleados, la función que cumple cada uno de estos mecanismos deberá ser evidente para el usuario. Además:
A continuación, se facilitan dos ejemplos de primera capa informativa sobre un mismo supuesto en el que se utilizan cookies propias y de terceros para fines de análisis y publicidad comportamental:
Como puede observarse, en estos ejemplos se ofrece información sobre el uso por el editor y por terceros de cookies analíticas y de publicidad comportamental, y se obtiene el consentimiento explícito de los usuarios que acepten el uso de cookies haciendo clic en el botón. Si no se pulsa el botón “Aceptar cookies” o “Sí”, el usuario no está autorizando el uso de cookies (por lo tanto, no está legitimado el uso de cookies si el usuario no pulsa el botón para aceptar cookies y simplemente continúa navegando).
El botón o mecanismo para configurar las cookies, esto es, administrar las preferencias del usuario, debe llevar a este directamente al panel de configuración, sin que tenga que desplazarse por grandes cantidades de texto buscando la información, que deberá seguir siendo accesible de forma permanente. Como se ha indicado anteriormente, el panel podrá integrarse en la segunda capa informativa.
En el panel de configuración debe indicarse o desprenderse claramente cómo guardar la selección realizada por el usuario. A estos efectos, sería válido por ejemplo un botón con el texto “Guardar selección”, “Guardar configuración” o textos similares.
Para facilitar la selección, en el panel podrán además implementarse dos botones, uno para seleccionar todas las categorías de cookies y otro para rechazarlas todas si el usuario las ha seleccionado previamente, siendo esta opción recomendable cuanto mayor sea el número distinto de categorías en las que se hayan clasificado las cookies. Si el usuario guarda su elección sin haber seleccionado ninguna cookie, equivaldrá al rechazo de todas las cookies. Debe recordarse que en ningún caso son admisibles las opciones premarcadas a favor de aceptar cookies para obtener un consentimiento válido.
Respecto del panel de configuración, el grado de granularidad a la hora de mostrar la selección de cookies deberá valorarlo el editor del sitio web, si bien es aconsejable que se tengan en cuenta las siguientes reglas:
3.2.1. El consentimiento como base para el cumplimiento de la normativa
Pág. 23:
Para que dicho consentimiento sea válido será necesario que el consentimiento haya sido otorgado de forma libre e informada. Por tanto, es necesario tener en cuenta:
(…)
3.2.3. Modalidades de obtención del consentimiento
Pág. 24: 3er. párrafo añadido
Con independencia de la modalidad de obtención del consentimiento, la opción de rechazar las cookies deberá ofrecerse al usuario al mismo tiempo, al mismo nivel y con la misma visibilidad que la de aceptarlas, sin remitirle a otra capa o lugar diferente para realizar esa acción.
Pág. 25:
e) A través del formato de información por capas.
A estos efectos, y a modo de ejemplo, puede constituir consentimiento que el usuario, tras haber sido informado sobre el uso de cookies, clique en un botón de aceptación, siempre y cuando, en este caso, se haya habilitado también un botón de rechazo, como se expuso anteriormente.
3.2.4. Consentimiento de menores de 14 años
Pág. 27: Ejemplos consentimiento menores:
Página 28:
Usos de mayor riesgo que los indicados en los ejemplos 1 y 2 (por ejemplo, cuando se evalúen aspectos personales para predecir preferencias o intereses personales o para mostrar publicidad personalizada, especialmente si se comparten datos con terceros) podrían requerir solicitar información adicional de los padres o tutores a efectos de verificación (por ejemplo, un email de contacto al que el editor pueda remitir un correo electrónico con la finalidad de que se verifique la aceptación por los padres o el tutor del menor).
Sobre este particular ha de tenerse en cuenta que el GT29 25 recomendó que las organizaciones deben abstenerse, en general, de elaborar perfiles sobre los niños con fines de mercadotecnia, dado que los niños representan un grupo más vulnerable de la sociedad. Por ello en aquellos casos en que el consentimiento no se preste por los padres o tutor del menor, por tener este más de 14 años, se recomienda a los editores abstenerse de utilizar cookies de publicidad comportamental en las webs dirigidas a menores o cuya audiencia esté compuesta mayoritariamente de menores.
3.2.10. Posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies:
Pág. 29
(..) Alternativa de acceso, no necesariamente gratuita (…)
3. PERIODO TRANSITORIO DE ADAPTACIÓN A LOS CRITERIOS DE LA NUEVA GUÍA 2023
El período transitorio de adaptación es de 6 meses, es decir hasta el 11 de enero de 2024.