El pasado 29 de abril, la Agencia Española de Protección de Datos (AEPD) ha hecho pública la Guía sobre el uso de las Cookies, actualizada a la nueva normativa de protección de datos. La Guía recoge las orientaciones, garantías y obligaciones que la industria debe aplicar para utilizar tanto cookies como tecnologías similares (fingerprinting y otra) cumpliendo la legislación vigente.
Las cookies que se ven afectadas por dicha regulación son aquellas que tengan una incidencia directa en el ámbito de privacidad de los usuarios (cookies destinadas a la personalización de servicios, al análisis de la navegación y al desarrollo de acciones publicitarias y de publicidad comportamental).
Las soluciones propuestas en la presente guía pretenden ofrecer orientaciones sobre cómo cumplir las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), en relación con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (LOPDGDD).
La Guía ofrece diversas opciones para cumplir con las principales obligaciones impuestas por la normativa; a saber, el deber de información al usuario y el deber de obtener el consentimiento por parte de este.
La nueva guía mantiene algunas de las cuestiones que ya se venían exigiendo en la anterior y actualiza otras con la intención de adaptarlas al nuevo entorno normativo derivado del Reglamento General de Protección de Datos de la UE (RGPD).
La implantación de las cookies y su papel esencial para la prestación de servicios en Internet ha determinado la necesidad de implantar un sistema en el que el usuario sea consciente de quién, cómo y para qué utiliza sus datos personales. Por ello, el documento presentado por la AEPD analiza la necesidad de obtener el consentimiento informado del usuario antes de instalar las cookies, recogiendo tanto la obligación de transparencia en la información como el consentimiento en sí mismo, teniendo en cuenta que la nueva normativa de protección de datos establece unos requisitos más estrictos. Además, la Guía se complementa con ejemplos prácticos de fórmulas válidas para recabar el consentimiento de los usuarios
En este aspecto, es especialmente importante la regulación del consentimiento del usuario para aceptar el uso de las cookies en las páginas web que este visita. Se exige que el consentimiento se base en una aceptación expresa o una clara acción afirmativa, tal y como resulta del RGPD. El tradicional procedimiento de «si sigue navegando acepta la instalación de cookies» se matiza, añadiéndole para su validez determinados requisitos de información reforzada, acciones claras y precisas y la posibilidad de retirar el consentimiento de una forma igualmente sencilla.
Por último, la Guía también recoge el derecho de los usuarios a recibir información sobre la forma de desactivar o eliminar las cookies, así como la forma de revocar un consentimiento prestado con anterioridad.
Asimismo, en la citada guía se analizan otros aspectos de relevancia como la forma de obtención del consentimiento de menores de 14 años, la posibilidad de recabar el consentimiento en una única web para diferentes dominios de contenido similar de un mismo editor, la responsabilidad en materia de cookies o la posibilidad de denegar el acceso al servicio en caso de rechazar las cookies, en determinados supuestos. También es destacable que se considera una buena práctica, según la nueva guía, que la validez del consentimiento para el uso de cookies no tenga una duración superior a 24 meses.