Se acerca la fecha límite de plazo (31 de octubre de 2020) para la adaptación del uso de las cookies en la web a las recientes Directrices, publicadas en mayo de este mismo año por el Comité Europeo de Protección de Datos.

La Agencia Española de Protección de Datos actualizó, en el pasado mes de julio, su guía sobre el uso de cookies, para adaptarla a las nuevas Directrices del Comité, otorgando un plazo transitorio de tres meses, para que aquellos que utilizan cookies en su web, procedan a su debida adaptación, actualización o corrección.

El contenido de las Directrices Europeas, versa fundamentalmente sobre el consentimiento de los usuarios de las cookies en la web. Entre las diversas cuestiones abordadas por el Comité, destacamos:

– La obligación de obtener el consentimiento del interesado.

– Los “muros de cookies”, condición o necesidad de aceptación de las cookies para poder seguir navegando o recibir el servicio de la web, debe ofrecer una alternativa para que el usuario pueda prestar su consentimiento.

– La opción “Seguir navegando” NO es una opción válida para obtener el consentimiento.

Recomendamos no descuidar este tipo de obligaciones en materia de protección de datos ayudando a realizar las debidas correcciones y actualizaciones de la política de cookies, ya que su incumplimiento puede materializarse en sanciones económicas, como la que recientemente ha sido impuesta por la Agencia Española de Protección de Datos a la aerolínea Iberia, multada con 30.000 €, debido al mal uso de las Cookies en su web.

Te ayudamos a resolver tus dudas sobre este tema, consúltanos

www.dataprotectplus.com

La entrada Última semana para adaptar el uso de las Cookies a las directrices europeas se publicó primero en DataProtectPlus.

La Agencia Española de Protección de Datos (AEPD) ha actualizado la Guía sobre el uso de las cookies para adaptarla a las Directrices sobre consentimiento modificadas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD). La nueva versión de la Guía realizada por la Agencia ha contado, tal y como ocurrió con versiones anteriores, con la participación de los sectores afectados (las asociaciones ADIGITAL, Asociación Española de Anunciantes, AUTOCONTROL e IAB Spain).

El Comité Europeo de Protección de Datos ha revisado en mayo de 2020 las Directrices 05/2020 sobre consentimiento con el fin de aclarar su posición en relación con dos cuestiones: la validez de la opción “seguir navegando” como forma de prestar el consentimiento por parte de los usuarios y la posibilidad de utilizar los conocidos como “muros de cookies”, es decir, de limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de cookies.

En relación con el primero de estos puntos, el Comité considera que la opción de “seguir navegando” no constituye en ninguna circunstancia una forma válida de prestar el consentimiento, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario, por lo que no sería posible entender que el consentimiento es inequívoco.

Respecto a los “muros de cookies”, el Comité ha precisado que, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies.

Por ello, la Guía explicita que no podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento. Este criterio resulta especialmente importante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario, por ser, por ejemplo, el acceso a un sitio web el único medio facilitado al usuario para ejercitar tal derecho.

Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. Conforme establecen las Directrices 05/2020 sobre el consentimiento del CEPD, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.

Estos nuevos criterios deberán implementarse, a más tardar, el 31 de octubre de este año, estableciéndose así un periodo transitorio de tres meses para introducir los cambios necesarios en los mecanismos de obtención del consentimiento para el uso de cookies que se estén utilizando.

La entrada Protección de Datos da tres meses a las empresas para adaptarse a la actualización de la Guía de “cookies” se publicó primero en DataProtectPlus.

La multa es relevante porque la falta de opciones para configurar la política de cookies es uno de los defectos de los que aún adolecen muchas webs en materia de privacidad. Una conducta que infringe el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI) de “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos”. Una infracción que la misma norma califica como leve.

Según la resolución de la AEPD, en la página web inspeccionada se apreciaban dos capas de información sobre las cookies. En la primera, el aviso de las mismas informaba de que estas se utilizaban “para recordar tus preferencias, elaborar estadísticas de uso y ofrecerte publicidad basada en tus hábitos de navegación. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información al respecto consultando nuestra Política de Cookies“, con un enlace a la misma e incorporando la opción “Aceptar y continuar navegando”.

En la segunda capa (dentro de la política de cookies) se informa sobre qué son las cookies y cuáles se usaban. También se comunicaba que la empresa podía utilizar “por sí misma o a través de terceras webs: beacons, Pixel tags y Local storage, para realizar evaluaciones y cálculos estadísticos sobre datos anónimos, así como para garantizar la continuidad del servicio o para realizar mejoras en sus sitios web”. Además indicaba que “dicha información no será utilizada para ninguna otra finalidad” así como que, “puede utilizar cookies de análisis de terceros”.

Consentimiento implícito

Es decir, como explica la resolución, “si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otra cookies”. Por el contrario de remite a la configuración de los navegadores para eliminarlas o bloquearlas, “no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador”. Una aceptación tácita que el organismo considera que contraviene la LSSI y la nueva normativa de privacidad.

Por todo ello, la AEPD determina que la aerolínea “no facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular”. Para facilitar esta selección, resalta el organismo, el panel podría habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva.

Fuente: El País

La entrada ¿Permite tú página web rechazar las cookies? Hasta 30.000€ de multa impuesta por la AEPD se publicó primero en DataProtectPlus.