Cambios de la nueva Guía de Cookies 2023 de la AEPD con respecto a la versión 2020


Manuel Castilleja Toscano     13/07/2023


La AEPD ha actualizado su Guía sobre el uso de cookies para adaptarla a las nuevas directrices 03/2022 del Comité Europeo de Protección de Datos (CEPD/EDPB) sobre patrones engañosos.

En la actualización se ha tenido asimismo en cuenta el informe adoptado por el grupo de trabajo creado en el seno del CEPD para analizar los banners de cookies.

Guía sobre el uso de las cookies (julio 2023): https://www.aepd.es/es/documento/guia-cookies.pdf

En este documento analizamos los cambios producidos de la siguiente forma:

  1. Interpretación de los cambios realizada por Privacy Driver
  2. Modificaciones de la Guía 2023 en relación con la versión 2020 (el nº de página se refiere a la guía 2023)
    • Texto actualizado (color azul)
    • Texto eliminado (color rojo tachado)
  3. Periodo transitorio de adaptación a los criterios de la nueva guía 2023

Debemos tener en cuenta que la nueva guía sigue la misma clasificación que la guía anterior, por lo que solo enumeraremos los apartados que contienen actualizaciones, ya sea por contenido nuevo o por contenido suprimido.

Han sido modificados y/o actualizados los siguientes apartados de la guía 2020:

2.1.1. Tipos de cookies según la entidad que las gestione

3.1.2.2. Información por capas

3.2.1. El consentimiento como base para el cumplimiento de la normativa

3.2.3. Modalidades de obtención del consentimiento

3.2.4. Consentimiento de menores de 14 años

3.2.10. Posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies

1. INTERPRETACIÓN DE LOS CAMBIOS REALIZADA POR PRIVACY DRIVER

  • En los tipos de cookies:
    • Si es el propio usuario quien toma decisiones sobre ellas (por ejemplo, la elección del idioma de la web o la moneda en la que desea realizar transacciones), se consideran cookies técnicas que no requieren de consentimiento, sin que puedan ser utilizadas para otras finalidades.
    • Si es el editor el que decide sobre ellas, basándose en la información que obtiene del usuario, deberá informar sobre ello ofreciendo de forma destacada la opción de aceptarlas o rechazarlas. En este caso, el editor tampoco podría utilizarlas para otras finalidades.
  • En la información por capas y consentimientos:
    • Las acciones para aceptar o rechazar cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas.
  • En la posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies:
    • La alternativa que se ofrezca cuando el usuario no acepte la utilización de cookies, para poder acceder al sitio web o a la utilización total o parcial del servicio y siempre que se informase al usuario, no tendrá por qué ser necesariamente gratuita.

2. MODIFICACIONES DE LA GUÍA 2023 EN RELACIÓN CON LA VERSIÓN 2020

2.1.1. Tipos de cookies según la entidad que las gestione

Pág. 12

b) Cookies de preferencias o personalización: (…) Estas cookies de preferencias que afectan a la interfaz de usuario no necesariamente tendrán que ser de sesión, ya que solicitar que el usuario determine sus preferencias a estos efectos cada vez que se visita un sitio web o se accede a una aplicación puede resultar molesto y provocarle fatiga. Ahora bien, para que estas cookies se consideren exentas, su uso deberá limitarse al necesario para su propósito, y la información que pueda desprenderse de la selección del usuario no podrá emplearse para otros fines (por ejemplo, para la personalización de contenidos publicitarios) ni para elaborar un perfil del usuario.

3.1.2.2. Información por capas

Págs. 19-22

En la primera capa, que para mayor claridad podrá identificarse bajo un término de uso común (como, por ejemplo, “cookies”), se incluiría la siguiente información:

(…)

e) Modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies. con la advertencia, en su caso, de que, si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.

f) Un enlace claramente visible dirigido a una segunda capa informativa en la que se incluya una información más detallada, utilizando, por ejemplo, el término “Cookies”, “Política de cookies” o “Más información, pulsa aquí”. El panel de configuración de cookies podrá estar integrado en esta segunda capa, siempre que, al facilitar acceso al mismo (por ejemplo, desde un botón o enlace incluido en la primera capa), Este mismo enlace podrá utilizarse para conducir al usuario al panel de configuración de cookies, ese acceso sea directo, esto es, que el usuario no tenga que navegar dentro de esta segunda capa para localizar el panel de configuración.

En conexión con el punto e) anterior de esta primera capa informativa, esta deberá contener:

a) Un botón o mecanismo equivalente, fácilmente visible, con las palabras “Aceptar cookies”, “Aceptar”, “Consentir” o textos similares, para consentir el uso de todas las cookies.

b) Un botón o mecanismo equivalente, similar al anterior (si se utiliza un botón para aceptar, deberá utilizarse un botón para rechazar), con las palabras “Rechazar cookies”, “Rechazar” o textos similares, para rechazar el uso de cookies (salvo aquellas que estén exentas de la obligación de obtener un consentimiento informado).

c) Un botón o mecanismo equivalente, claramente visible, pero no necesariamente similar a los anteriores, que despliegue o lleve a un panel de configuración que permita aceptar o rechazar las cookies de forma granular, al menos en función de su finalidad.

Como buena práctica, este panel de configuración no debería incluirse en aquellos casos en los que solo se utilicen cookies para una finalidad y, por lo tanto, el usuario solo pueda elegir entre aceptar o rechazar las cookies correspondientes a esa finalidad. No obstante, dado que las cookies que se utilizan pueden variar con el tiempo (por ejemplo, inicialmente podrían estar utilizándose únicamente cookies para fines de análisis, pero luego utilizarse también para fines de personalización, y después volver a utilizarse únicamente cookies de análisis), el panel de configuración y el mecanismo de acceso al mismo podrán mantenerse incluso cuando no sean estrictamente necesarios, para así evitar cambios recurrentes en el aviso de cookies y los costes que ello puede conllevar.

En todo caso, teniendo en cuenta el texto del aviso y los mecanismos empleados, la función que cumple cada uno de estos mecanismos deberá ser evidente para el usuario. Además:

  • No se podrá dar al usuario la impresión de que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web.
  • No se podrá empujar claramente al usuario a aceptar las cookies.
  • El color o contraste del texto y los botones (o mecanismos equivalentes) no podrán ser obviamente engañosos para los usuarios, de forma que lleven a un consentimiento involuntario. No será válido, por ejemplo, que la opción para rechazar las cookies sea un botón con un texto que no contrasta lo suficiente con el color del botón y, por lo tanto, no pueda leerse.

A continuación, se facilitan dos ejemplos de primera capa informativa sobre un mismo supuesto en el que se utilizan cookies propias y de terceros para fines de análisis y publicidad comportamental:

Interfaz de usuario gráfica, Texto, Aplicación, Chat o mensaje de textoDescripción generada automáticamente

Como puede observarse, en estos ejemplos se ofrece información sobre el uso por el editor y por terceros de cookies analíticas y de publicidad comportamental, y se obtiene el consentimiento explícito de los usuarios que acepten el uso de cookies haciendo clic en el botón. Si no se pulsa el botón “Aceptar cookies” o “Sí”, el usuario no está autorizando el uso de cookies (por lo tanto, no está legitimado el uso de cookies si el usuario no pulsa el botón para aceptar cookies y simplemente continúa navegando).

El botón o mecanismo para configurar las cookies, esto es, administrar las preferencias del usuario, debe llevar a este directamente al panel de configuración, sin que tenga que desplazarse por grandes cantidades de texto buscando la información, que deberá seguir siendo accesible de forma permanente. Como se ha indicado anteriormente, el panel podrá integrarse en la segunda capa informativa.

En el panel de configuración debe indicarse o desprenderse claramente cómo guardar la selección realizada por el usuario. A estos efectos, sería válido por ejemplo un botón con el texto “Guardar selección”, “Guardar configuración” o textos similares.

Para facilitar la selección, en el panel podrán además implementarse dos botones, uno para seleccionar todas las categorías de cookies y otro para rechazarlas todas si el usuario las ha seleccionado previamente, siendo esta opción recomendable cuanto mayor sea el número distinto de categorías en las que se hayan clasificado las cookies. Si el usuario guarda su elección sin haber seleccionado ninguna cookie, equivaldrá al rechazo de todas las cookies. Debe recordarse que en ningún caso son admisibles las opciones premarcadas a favor de aceptar cookies para obtener un consentimiento válido.

Respecto del panel de configuración, el grado de granularidad a la hora de mostrar la selección de cookies deberá valorarlo el editor del sitio web, si bien es aconsejable que se tengan en cuenta las siguientes reglas:

  • (…)
  • Dentro de cada finalidad, y a elección del editor del sitio web, las cookies podrían agruparse también en función del tercero responsable de las mismas (por ejemplo, el usuario podría elegir aceptar las cookies analíticas de un determinado tercero y no así las de otro).

3.2.1. El consentimiento como base para el cumplimiento de la normativa

Pág. 23:

Para que dicho consentimiento sea válido será necesario que el consentimiento haya sido otorgado de forma libre e informada. Por tanto, es necesario tener en cuenta:

(…)

  • Que el usuario, en todo caso, podrá negarse a aceptar las cookies. La opción para rechazar las cookies deberá ofrecerse en la misma capa y al mismo nivel que la opción para aceptarlas y el mecanismo empleado al efecto (botón u otro) deberá ser similar.

3.2.3. Modalidades de obtención del consentimiento

Pág. 24: 3er. párrafo añadido

Con independencia de la modalidad de obtención del consentimiento, la opción de rechazar las cookies deberá ofrecerse al usuario al mismo tiempo, al mismo nivel y con la misma visibilidad que la de aceptarlas, sin remitirle a otra capa o lugar diferente para realizar esa acción.

Pág. 25:

e) A través del formato de información por capas.

A estos efectos, y a modo de ejemplo, puede constituir consentimiento que el usuario, tras haber sido informado sobre el uso de cookies, clique en un botón de aceptación, siempre y cuando, en este caso, se haya habilitado también un botón de rechazo, como se expuso anteriormente.

3.2.4. Consentimiento de menores de 14 años

Pág. 27: Ejemplos consentimiento menores:

Página 28:

Usos de mayor riesgo que los indicados en los ejemplos 1 y 2 (por ejemplo, cuando se evalúen aspectos personales para predecir preferencias o intereses personales o para mostrar publicidad personalizada, especialmente si se comparten datos con terceros) podrían requerir solicitar información adicional de los padres o tutores a efectos de verificación (por ejemplo, un email de contacto al que el editor pueda remitir un correo electrónico con la finalidad de que se verifique la aceptación por los padres o el tutor del menor).

Sobre este particular ha de tenerse en cuenta que el GT29 25 recomendó que las organizaciones deben abstenerse, en general, de elaborar perfiles sobre los niños con fines de mercadotecnia, dado que los niños representan un grupo más vulnerable de la sociedad. Por ello en aquellos casos en que el consentimiento no se preste por los padres o tutor del menor, por tener este más de 14 años, se recomienda a los editores abstenerse de utilizar cookies de publicidad comportamental en las webs dirigidas a menores o cuya audiencia esté compuesta mayoritariamente de menores.

3.2.10. Posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies:

Pág. 29

(..) Alternativa de acceso, no necesariamente gratuita (…)

3. PERIODO TRANSITORIO DE ADAPTACIÓN A LOS CRITERIOS DE LA NUEVA GUÍA 2023

El período transitorio de adaptación es de 6 meses, es decir hasta el 11 de enero de 2024.